前言

首先聲明下，本人既不是殺毒軟件廠商技術(shù)人員,也不是黑產(chǎn)從業(yè)人員。寫這篇文章只是記錄自己對木馬技術(shù)研究的一些分析，也并不代表這些技術(shù)是當(dāng)前木馬技術(shù)領(lǐng)域的主流技術(shù)。只是用來分享和交流之用。

進(jìn)入正題，反木馬技術(shù)我個(gè)人認(rèn)為比較常見的分為兩種，一種是對木馬網(wǎng)絡(luò)特征行為進(jìn)行分析，如用wireshark 等抓包工具分析網(wǎng)絡(luò)特征(對單獨(dú)一臺(tái)主機(jī)分析時(shí)較常見)，還可以用硬件防火墻分析網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包(分析整個(gè)內(nèi)網(wǎng)數(shù)據(jù)流量時(shí)較常見);另一種是對木馬的文件特征行為進(jìn)行分析，如用process monitor 分析某個(gè)可疑進(jìn)程對系統(tǒng)的修改，還有殺毒軟件廠商用的比較多的方法是對木馬pe 文件進(jìn)行逆向分析。

本文重點(diǎn)對木馬網(wǎng)絡(luò)特征行為進(jìn)行研究，提高木馬反跟蹤能力。

我這里給出木馬的設(shè)計(jì)思路草圖, 如下：

源代碼將在逆向分析中給出。

下面我想從木馬抓包分析和使用IDA PRO 逆向分析給出木馬的網(wǎng)絡(luò)特征行為。

為了同步演示木馬行為, 木馬被控端也將同時(shí)運(yùn)行，并輸出調(diào)試信息。

如下圖：

下面是wireshark 抓包截圖：

這是建立TCP 反彈連接時(shí)抓取到的數(shù)據(jù)包。

這是建立UDP 反彈連接時(shí)抓取到的數(shù)據(jù)包。

下面是用 IDA PRO 6.6 對 被控端shell.exe 進(jìn)行分析。

這里查看到的IP地址 和使用wireshark 抓包獲取的IP 地址是一樣的，都是23.218.27.34

這個(gè)IP地址 只是起到干擾和偽裝的作用，可以是任意國家的IP地址。

而UDP 上線IP 或者域名在 源代碼中是加密賦值的，用IDA PRO 分析結(jié)果如下圖：

對應(yīng)的C++ 源碼部分如下圖：

當(dāng)然，這個(gè)加密的上線IP 在上面的UDP 抓包和被控端運(yùn)行調(diào)試信息中已經(jīng)給出。

通過wireshark 和IDA 對木馬分析得出上線IP 很可能就是23.218.27.34，而真正的上線IP 和端口 很有可能被忽略掉了。因?yàn)榇蠖鄶?shù)的木馬程序都采用TCP 反彈連接, 在分析木馬的時(shí)候UDP 特征并不容易引起注意。

作者親傾贈(zèng)送

作為觀看這篇文章的獎(jiǎng)勵(lì), 我有一個(gè)小禮物送給大家

網(wǎng)絡(luò)連接查看器(ver 0.5)

主要功能：查看當(dāng)前網(wǎng)絡(luò)TCP和UDP 連接

使用方法：

在>=Win7 系統(tǒng)上鼠標(biāo)右鍵已管理員身份運(yùn)行;

效果圖如下：

下載鏈接: http://pan.baidu.com/s/1pJvHs6Z 密碼: rgir