前言

首先聲明下，本人既不是殺毒軟件廠商技術(shù)人員,也不是黑產(chǎn)從業(yè)人員。寫這篇文章只是記錄自己對木馬技術(shù)研究的一些分析，也并不代表這些技術(shù)是當前木馬技術(shù)領(lǐng)域的主流技術(shù)。只是用來分享和交流之用。

進入正題，反木馬技術(shù)我個人認為比較常見的分為兩種，一種是對木馬網(wǎng)絡(luò)特征行為進行分析，如用wireshark 等抓包工具分析網(wǎng)絡(luò)特征(對單獨一臺主機分析時較常見)，還可以用硬件防火墻分析網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包(分析整個內(nèi)網(wǎng)數(shù)據(jù)流量時較常見);另一種是對木馬的文件特征行為進行分析，如用process monitor 分析某個可疑進程對系統(tǒng)的修改，還有殺毒軟件廠商用的比較多的方法是對木馬pe 文件進行逆向分析。

本文重點對木馬網(wǎng)絡(luò)特征行為進行研究，提高木馬反跟蹤能力。

我這里給出木馬的設(shè)計思路草圖, 如下：

源代碼將在逆向分析中給出。

下面我想從木馬抓包分析和使用IDA PRO 逆向分析給出木馬的網(wǎng)絡(luò)特征行為。

為了同步演示木馬行為, 木馬被控端也將同時運行，并輸出調(diào)試信息。

如下圖：

下面是wireshark 抓包截圖：

這是建立TCP 反彈連接時抓取到的數(shù)據(jù)包。

這是建立UDP 反彈連接時抓取到的數(shù)據(jù)包。

下面是用 IDA PRO 6.6 對 被控端shell.exe 進行分析。

這里查看到的IP地址 和使用wireshark 抓包獲取的IP 地址是一樣的，都是23.218.27.34

這個IP地址 只是起到干擾和偽裝的作用，可以是任意國家的IP地址。

而UDP 上線IP 或者域名在 源代碼中是加密賦值的，用IDA PRO 分析結(jié)果如下圖：

對應(yīng)的C++ 源碼部分如下圖：

當然，這個加密的上線IP 在上面的UDP 抓包和被控端運行調(diào)試信息中已經(jīng)給出。

通過wireshark 和IDA 對木馬分析得出上線IP 很可能就是23.218.27.34，而真正的上線IP 和端口 很有可能被忽略掉了。因為大多數(shù)的木馬程序都采用TCP 反彈連接, 在分析木馬的時候UDP 特征并不容易引起注意。

作者親傾贈送

作為觀看這篇文章的獎勵, 我有一個小禮物送給大家

網(wǎng)絡(luò)連接查看器(ver 0.5)

主要功能：查看當前網(wǎng)絡(luò)TCP和UDP 連接

使用方法：

在>=Win7 系統(tǒng)上鼠標右鍵已管理員身份運行;

效果圖如下：

下載鏈接: http://pan.baidu.com/s/1pJvHs6Z 密碼: rgir