Smoke Loader 是一个在黑市上公开销售的僵尸网络软件。其活动时间可以追溯到2011年，虽然近年来已经被多次曝光，但保持持续升级，非常活跃。在我们统计中，仅最近半年活跃的样本就超过 1,500 个。 我们在跟踪这一家族的过程中，捕获了一套完整的恶意程序套件，包括其主体Loader、控制台Panel，以及控制台中包含的插件。对这套样本的分析使我们对其运行机制有了更深入的了解，这将是本文的主要内容之一。 分析过程中，我们还遇到一组被修改过的特例样本。虽然有人认为这组样本是作者在对抗安全研究人员提取C2主控域名，但仔细分析后，我们认为这是第三方做“盗版”。这部分的分析和研判过程，是本文的主要内容之二。 Smoke Loader相关的分析文档已经很多，本文不会涉及已经被公开的部分。相关内容，读者可以参阅文末参考部分。 Smoke Loader 套件分析 套件中的文件结构见后图，说明如下： * 本体，Loader_new_Cyberbunker.exe * Web控制台，Panel ，使用未加密的PHP语言编写 * 插件，包括 Panel/mods 和