前言
十年的古塔网站建设经验,针对设计、前端、开发、售后、文案、推广等六对一服务,响应快,48小时及时工作处理。成都全网营销推广的优势是能够根据用户设备显示端的尺寸不同,自动调整古塔建站的显示方式,使网站能够适用不同显示终端,在浏览器中调整网站的宽度,无论在任何一种浏览器上浏览网站,都能展现优雅布局与设计,从而大程度地提升浏览体验。成都创新互联从事“古塔网站设计”,“古塔网站推广”以来,每个客户项目都认真落实执行。
首先声明下,本人既不是杀毒软件厂商技术人员,也不是黑产从业人员。写这篇文章只是记录自己对木马技术研究的一些分析,也并不代表这些技术是当前木马技术领域的主流技术。只是用来分享和交流之用。
进入正题,反木马技术我个人认为比较常见的分为两种,一种是对木马网络特征行为进行分析,如用wireshark 等抓包工具分析网络特征(对单独一台主机分析时较常见),还可以用硬件防火墙分析网络协议数据包(分析整个内网数据流量时较常见);另一种是对木马的文件特征行为进行分析,如用process monitor 分析某个可疑进程对系统的修改,还有杀毒软件厂商用的比较多的方法是对木马pe 文件进行逆向分析。
本文重点对木马网络特征行为进行研究,提高木马反跟踪能力。
我这里给出木马的设计思路草图, 如下:
源代码将在逆向分析中给出。
下面我想从木马抓包分析和使用IDA PRO 逆向分析给出木马的网络特征行为。
为了同步演示木马行为, 木马被控端也将同时运行,并输出调试信息。
如下图:
下面是wireshark 抓包截图:
这是建立TCP 反弹连接时抓取到的数据包。
这是建立UDP 反弹连接时抓取到的数据包。
下面是用 IDA PRO 6.6 对 被控端shell.exe 进行分析。
这里查看到的IP地址 和使用wireshark 抓包获取的IP 地址是一样的,都是23.218.27.34
这个IP地址 只是起到干扰和伪装的作用,可以是任意国家的IP地址。
而UDP 上线IP 或者域名在 源代码中是加密赋值的,用IDA PRO 分析结果如下图:
对应的C++ 源码部分如下图:
当然,这个加密的上线IP 在上面的UDP 抓包和被控端运行调试信息中已经给出。
通过wireshark 和IDA 对木马分析得出上线IP 很可能就是23.218.27.34,而真正的上线IP 和端口 很有可能被忽略掉了。因为大多数的木马程序都采用TCP 反弹连接, 在分析木马的时候UDP 特征并不容易引起注意。
作者亲倾赠送
作为观看这篇文章的奖励, 我有一个小礼物送给大家
网络连接查看器(ver 0.5)
主要功能:查看当前网络TCP和UDP 连接
使用方法:
在>=Win7 系统上鼠标右键已管理员身份运行;
效果图如下:
下载链接: http://pan.baidu.com/s/1pJvHs6Z 密码: rgir
网站栏目:浅谈从反木马角度分析怎样提高木马反跟踪能力
文章链接:http://www.36103.cn/qtweb/news23/34523.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联