日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
淺談從反木馬角度分析怎樣提高木馬反跟蹤能力

前言

十年的古塔網(wǎng)站建設(shè)經(jīng)驗(yàn),針對(duì)設(shè)計(jì)、前端、開發(fā)、售后、文案、推廣等六對(duì)一服務(wù),響應(yīng)快,48小時(shí)及時(shí)工作處理。成都全網(wǎng)營(yíng)銷推廣的優(yōu)勢(shì)是能夠根據(jù)用戶設(shè)備顯示端的尺寸不同,自動(dòng)調(diào)整古塔建站的顯示方式,使網(wǎng)站能夠適用不同顯示終端,在瀏覽器中調(diào)整網(wǎng)站的寬度,無(wú)論在任何一種瀏覽器上瀏覽網(wǎng)站,都能展現(xiàn)優(yōu)雅布局與設(shè)計(jì),從而大程度地提升瀏覽體驗(yàn)。成都創(chuàng)新互聯(lián)從事“古塔網(wǎng)站設(shè)計(jì)”,“古塔網(wǎng)站推廣”以來,每個(gè)客戶項(xiàng)目都認(rèn)真落實(shí)執(zhí)行。

首先聲明下,本人既不是殺毒軟件廠商技術(shù)人員,也不是黑產(chǎn)從業(yè)人員。寫這篇文章只是記錄自己對(duì)木馬技術(shù)研究的一些分析,也并不代表這些技術(shù)是當(dāng)前木馬技術(shù)領(lǐng)域的主流技術(shù)。只是用來分享和交流之用。

進(jìn)入正題,反木馬技術(shù)我個(gè)人認(rèn)為比較常見的分為兩種,一種是對(duì)木馬網(wǎng)絡(luò)特征行為進(jìn)行分析,如用wireshark 等抓包工具分析網(wǎng)絡(luò)特征(對(duì)單獨(dú)一臺(tái)主機(jī)分析時(shí)較常見),還可以用硬件防火墻分析網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包(分析整個(gè)內(nèi)網(wǎng)數(shù)據(jù)流量時(shí)較常見);另一種是對(duì)木馬的文件特征行為進(jìn)行分析,如用process monitor 分析某個(gè)可疑進(jìn)程對(duì)系統(tǒng)的修改,還有殺毒軟件廠商用的比較多的方法是對(duì)木馬pe 文件進(jìn)行逆向分析。

本文重點(diǎn)對(duì)木馬網(wǎng)絡(luò)特征行為進(jìn)行研究,提高木馬反跟蹤能力。

我這里給出木馬的設(shè)計(jì)思路草圖, 如下:

源代碼將在逆向分析中給出。

下面我想從木馬抓包分析和使用IDA PRO 逆向分析給出木馬的網(wǎng)絡(luò)特征行為。

為了同步演示木馬行為, 木馬被控端也將同時(shí)運(yùn)行,并輸出調(diào)試信息。

如下圖:

下面是wireshark 抓包截圖:

這是建立TCP 反彈連接時(shí)抓取到的數(shù)據(jù)包。

這是建立UDP 反彈連接時(shí)抓取到的數(shù)據(jù)包。

下面是用 IDA PRO 6.6 對(duì) 被控端shell.exe 進(jìn)行分析。

這里查看到的IP地址 和使用wireshark 抓包獲取的IP 地址是一樣的,都是23.218.27.34

這個(gè)IP地址 只是起到干擾和偽裝的作用,可以是任意國(guó)家的IP地址。

而UDP 上線IP 或者域名在 源代碼中是加密賦值的,用IDA PRO 分析結(jié)果如下圖:

對(duì)應(yīng)的C++ 源碼部分如下圖:

當(dāng)然,這個(gè)加密的上線IP 在上面的UDP 抓包和被控端運(yùn)行調(diào)試信息中已經(jīng)給出。

通過wireshark 和IDA 對(duì)木馬分析得出上線IP 很可能就是23.218.27.34,而真正的上線IP 和端口 很有可能被忽略掉了。因?yàn)榇蠖鄶?shù)的木馬程序都采用TCP 反彈連接, 在分析木馬的時(shí)候UDP 特征并不容易引起注意。

作者親傾贈(zèng)送

作為觀看這篇文章的獎(jiǎng)勵(lì), 我有一個(gè)小禮物送給大家

網(wǎng)絡(luò)連接查看器(ver 0.5)

主要功能:查看當(dāng)前網(wǎng)絡(luò)TCP和UDP 連接

使用方法:

在>=Win7 系統(tǒng)上鼠標(biāo)右鍵已管理員身份運(yùn)行;

效果圖如下:

下載鏈接: http://pan.baidu.com/s/1pJvHs6Z 密碼: rgir


網(wǎng)頁(yè)題目:淺談從反木馬角度分析怎樣提高木馬反跟蹤能力
本文路徑:http://www.5511xx.com/article/cdpegig.html