前言

首先聲明下，本人既不是殺毒軟件廠商技術(shù)人員,也不是黑產(chǎn)從業(yè)人員。寫這篇文章只是記錄自己對(duì)木馬技術(shù)研究的一些分析，也并不代表這些技術(shù)是當(dāng)前木馬技術(shù)領(lǐng)域的主流技術(shù)。只是用來分享和交流之用。

進(jìn)入正題，反木馬技術(shù)我個(gè)人認(rèn)為比較常見的分為兩種，一種是對(duì)木馬網(wǎng)絡(luò)特征行為進(jìn)行分析，如用wireshark 等抓包工具分析網(wǎng)絡(luò)特征(對(duì)單獨(dú)一臺(tái)主機(jī)分析時(shí)較常見)，還可以用硬件防火墻分析網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包(分析整個(gè)內(nèi)網(wǎng)數(shù)據(jù)流量時(shí)較常見);另一種是對(duì)木馬的文件特征行為進(jìn)行分析，如用process monitor 分析某個(gè)可疑進(jìn)程對(duì)系統(tǒng)的修改，還有殺毒軟件廠商用的比較多的方法是對(duì)木馬pe 文件進(jìn)行逆向分析。

本文重點(diǎn)對(duì)木馬網(wǎng)絡(luò)特征行為進(jìn)行研究，提高木馬反跟蹤能力。

我這里給出木馬的設(shè)計(jì)思路草圖, 如下：

源代碼將在逆向分析中給出。

下面我想從木馬抓包分析和使用IDA PRO 逆向分析給出木馬的網(wǎng)絡(luò)特征行為。

為了同步演示木馬行為, 木馬被控端也將同時(shí)運(yùn)行，并輸出調(diào)試信息。

如下圖：

下面是wireshark 抓包截圖：

這是建立TCP 反彈連接時(shí)抓取到的數(shù)據(jù)包。

這是建立UDP 反彈連接時(shí)抓取到的數(shù)據(jù)包。

下面是用 IDA PRO 6.6 對(duì) 被控端shell.exe 進(jìn)行分析。

這里查看到的IP地址 和使用wireshark 抓包獲取的IP 地址是一樣的，都是23.218.27.34

這個(gè)IP地址 只是起到干擾和偽裝的作用，可以是任意國(guó)家的IP地址。

而UDP 上線IP 或者域名在 源代碼中是加密賦值的，用IDA PRO 分析結(jié)果如下圖：

對(duì)應(yīng)的C++ 源碼部分如下圖：

當(dāng)然，這個(gè)加密的上線IP 在上面的UDP 抓包和被控端運(yùn)行調(diào)試信息中已經(jīng)給出。

通過wireshark 和IDA 對(duì)木馬分析得出上線IP 很可能就是23.218.27.34，而真正的上線IP 和端口 很有可能被忽略掉了。因?yàn)榇蠖鄶?shù)的木馬程序都采用TCP 反彈連接, 在分析木馬的時(shí)候UDP 特征并不容易引起注意。

作者親傾贈(zèng)送

作為觀看這篇文章的獎(jiǎng)勵(lì), 我有一個(gè)小禮物送給大家

網(wǎng)絡(luò)連接查看器(ver 0.5)

主要功能：查看當(dāng)前網(wǎng)絡(luò)TCP和UDP 連接

使用方法：

在>=Win7 系統(tǒng)上鼠標(biāo)右鍵已管理員身份運(yùn)行;

效果圖如下：

下載鏈接: http://pan.baidu.com/s/1pJvHs6Z 密碼: rgir