浅谈从反木马角度分析怎样提高木马反跟踪能力


发布人:admin分类:网络安全浏览量:28发布时间:2017-12-12

前言

首先声明下,本人既不是杀毒软件厂商技术人员,也不是黑产从业人员。写这篇文章只是记录自己对木马技术研究的一些分析,也并不代表这些技术是当前木马技术领域的主流技术。只是用来分享和交流之用。

进入正题,反木马技术我个人认为比较常见的分为两种,一种是对木马网络特征行为进行分析,如用wireshark 等抓包工具分析网络特征(对单独一台主机分析时较常见),还可以用硬件防火墙分析网络协议数据包(分析整个内网数据流量时较常见);另一种是对木马的文件特征行为进行分析,如用process monitor 分析某个可疑进程对系统的修改,还有杀毒软件厂商用的比较多的方法是对木马pe 文件进行逆向分析。

本文重点对木马网络特征行为进行研究,提高木马反跟踪能力。

我这里给出木马的设计思路草图, 如下:

源代码将在逆向分析中给出。

下面我想从木马抓包分析和使用IDA PRO 逆向分析给出木马的网络特征行为。

为了同步演示木马行为, 木马被控端也将同时运行,并输出调试信息。

如下图:

下面是wireshark 抓包截图:

这是建立TCP 反弹连接时抓取到的数据包。

这是建立UDP 反弹连接时抓取到的数据包。

下面是用 IDA PRO 6.6 对 被控端shell.exe 进行分析。

这里查看到的IP地址 和使用wireshark 抓包获取的IP 地址是一样的,都是23.218.27.34

这个IP地址 只是起到干扰和伪装的作用,可以是任意国家的IP地址。

而UDP 上线IP 或者域名在 源代码中是加密赋值的,用IDA PRO 分析结果如下图:

对应的C++ 源码部分如下图:

当然,这个加密的上线IP 在上面的UDP 抓包和被控端运行调试信息中已经给出。

通过wireshark 和IDA 对木马分析得出上线IP 很可能就是23.218.27.34,而真正的上线IP 和端口 很有可能被忽略掉了。因为大多数的木马程序都采用TCP 反弹连接, 在分析木马的时候UDP 特征并不容易引起注意。

作者亲倾赠送

作为观看这篇文章的奖励, 我有一个小礼物送给大家

网络连接查看器(ver 0.5)

主要功能:查看当前网络TCP和UDP 连接

使用方法:

在>=Win7 系统上鼠标右键已管理员身份运行; <Win7 系统下直接双击运行。

效果图如下:

下载链接: http://pan.baidu.com/s/1pJvHs6Z 密码: rgir

* 作者/南拳daddy,属FreeBuf原创奖励计划文章,


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21214275(PV) 页面执行时间:64.606(MS)
  • xml
  • 网站地图