项目有3个目录，Bot是病毒程序的代码，Panel是操控端的代码，运用PHP编写，Builder是一个生成器，用于快速生成病毒程序。

生成器运转后如下图，只需填入操控端的Url以及加解密密钥，就能主动生成一个病毒程序，这样就省去了修正病毒源码从头编译的过程。Builder的代码便是对Bot的一个封装，下面要点剖析Bot和Panel的代码。

操控端只需求将Panel文件夹复制到PHP网站目录下即可运转，不过运转之前要先导入Upload_to_database.sql初始化LiteHttp需求的数据库。

数据库初始化结束后，拜访Panel下的login途径即可进行登陆操控端，初始的账户名和暗码均为admin。

Dashboard显现了上线主机的概略，下发歹意指令的功能在Tasks标签处。

二、 源码剖析 2.1 代码流程

2.2 主函数 程序一开始会创立两个线程，别离用于履行中心进犯操作，以及耐久化进犯操作。

2.3 耐久化进犯函数 耐久化进犯操作比较简略，便是在注册表下创立一个自启动项“Catlyst Control Center”，完成每次开机主动运转。

2.4 中心进犯函数 接下来看中心进犯函数的代码，首要做了3个首要操作： [1] 搜集主机信息，运用预先约好的密钥进行加密，然后将加密后的信息以Http的方法上传至操控端服务器。 [2] 承受操控端的操控码并履行相应的操作。 [3] 上传履行的成果。

2.5 C&C通讯函数 与C&C通讯的代码在类Communication中，经过POST的方法将加密后的主机信息上传到操控端服务器，这里有一点值得注意，发送数据包前会将Http头中的UserAgent修正为一个随机字符串，这个是操控端用来辨认肉鸡的标识。

2.6 歹意操作履行函数 首要的中心歹意操作在函数processTask中，经过代码咱们能够发现，操控码是阿拉伯数字，接纳的操控码和履行参数都是经过base64加密的，首要需求对它们进行base64解密。首要的操作大致有4个：下载&履行可履行文件、拜访网站、铲除异己、更新&卸载病毒程序。

三、 渠道演示 在运转病毒程序前，要现在Settings.cs中填入32位的加解密密钥。

一起，在Panel的incconfig.php中的$deckey中也填入上一步的密钥，代码中是运用AES-CBC算法进行加密的，密钥有必要相同才干确保解密出的数据共同。

调试病毒代码的通讯模块，经过下图蓝色部分咱们能够看到post的数据为一堆加密后的主机信息。 [1][2]黑客接单网