[图8] 不可播放文件提交界面　　

　　[图9] 暴风影音客户端升级程序代码片断

　　3. 下载广告

　　从图10所示的暴风影音客户端升级程序代码片断可以看出，stormliv.exe通过http://download.baofeng.com下载exmat.ini文件。　

　　[图10] 暴风影音客户端升级程序代码片断

　　exmat.ini文件内容如图11所示。　

　　[图11] 广告列表文件内容

　　经过分析， 可判定该文件为广告列表，见图12。广告列表相关文件中未发现可执行程序。从其对下载内容的解析机制看，并未发现其他第三方程序的功能片断。　　

　　[图12] 下载广告内容

　　结合以上对stormliv.exe的动态、静态分析，该程序主要用于升级和广告下载，初步判断该程序中并未发现提供可以对系统远程控制以及获取系统敏感数据的功能片断，且具备可见性，不符合安天对于后门程序的定义条件。

　　从其关联行为来看，尚未发现 “复制自身或衍生文件到系统目录”、“ 修改系统文件”、“隐藏自身”、“窃取用户键盘输入”、“窃取用户重要文件”、“窃取用户屏幕显示内容”及“下载执行恶意代码”等行为。虽然有“添加到系统启动项”、“连接网络发送、下载文件”行为，但仅凭这两点无法将其判定为后门程序。

　　七、 行为对比

　　将判定后门程序的基本依据及前面提到的典型后门程序常见行为特性分类归纳，并与暴风影音客户端升级程序stormliv.exe的主要行为列表对照比较，其结果见表6。　

　　[表6] 典型后门程序行为与暴风影音客户端升级程序行为比较

　　同时需要说明的是，是否满足表中常见行为是定性后门程序的必要条件，而不是充分条件。比如，并非“连接网络”的程序就一定是后门程序，该程序也可能是下载器型木马、蠕虫，甚至是浏览器、即时聊天工具。同样，并非有数字签名的程序就一定不是后门程序，因为近年来Antiy CERT的病毒分析师已经发现有伪造数字签名的恶意代码出现。

　　八、 代码流程对比

　　通过对程序代码流程图的对比，也可以发现后门程序与正常应用程序之间的显著区别。这是因为后门程序的作者在编写和传播后门程序的过程中，会使用比较简单的代码逻辑，或者尽量破坏代码的规范性，以防止反病毒工程师对其进行逆向分析。但正常应用程序的作者并没有这样的顾虑，反而会尽量保证代码的清晰和规范性，以便在程序出现问题的时候，更容易跟踪、调试。

　　从以下各个典型后门程序的IDA流程图中，可以很容易地看出，后门程序的代码主流程图相对简单，没有太多的条件分支。但是，PcClient和灰鸽子的代码却很不规范，无法使用IDA获得其主流程图。

　　暴风影音客户端升级程序可以由IDA获得流程图，并采用了较为清晰的条件判断分支。　

　　[图13] 后门程序样本代码流程(Rbot)　

　　[图14] 后门程序样本代码流程(黑洞2005)　

　　[图15] 无法获得IDA流程图(PcClient)　　

　　[图16] 无法获得IDA流程图(灰鸽子)　

　　[图17] 暴风影音客户端升级程序代码主流程

　　九、结论

　　通过以上分析，可初步得出以下几点结论：

　　1 暴风影音Stormliv.exe程序是具有升级、下载广告并开机启动的服务程序。该程序会下载更新暴风影音的程序和配置文件，并根据广告下载列表下载相应的广告数据包。此外，该程序可以回传不可播放的影音文件信息。

　　2 暴风影音Stormliv.exe在执行时无隐藏自身情况，也未发现令主机“通过网络被远程控制的”功能片段。同时没有“复制自身或衍生文件到系统目录”、“ 修改系统文件”9 7 3 1 2 3 4 5 4 8 :

本文来源：华军资讯 作者：厂商投递