揭开木马的神秘面纱》如何实现隐藏的破坏力(2)

TCP 19 2. 0. 0. 9：1162 19 2. 0. 0. 8：139 TIME_WAIT

已建立TCP 19 2. 0. 0. 9：1169 20 2. 13 0. 23 9. 159：80已建立

TCP 19 2. 0. 0. 9：1170 20 2. 13 0. 23 9. 133：80 TIME_WAIT

C：/ Documents and Settings / bigball> netstat -a

活动连接

原始本地地址外部地址状态

TCP Liumy：echo Liumy：0侦听

TCP Liumy：丢弃Liumy：0侦听

TCP Liumy：白天Liumy：0侦听

TCP Liumy：qotd Liumy：0侦听

TCP Liumy：chargen Liumy：0侦听

TCP Liumy：epmap Liumy：0侦听

TCP Liumy：microsoft-ds Liumy：0侦听

TCP Liumy：1025 Liumy：0侦听

TCP Liumy：1026 Liumy：0侦听

TCP Liumy：1031 Liumy：0侦听

TCP Liumy：1032 Liumy：0侦听

TCP Liumy：1112 Liumy：0侦听

TCP Liumy：1135 Liumy：0侦听

TCP Liumy：1142 Liumy：0 LISTENING

TCP Liumy：1801 Liumy：0 LISTENING

TCP Liumy：3372 Liumy：0侦听

TCP Liumy：3389 Liumy：0侦听

TCP Liumy：netbios-ssn Liumy：0侦听

TCP Liumy：1028 Liumy：0侦听

TCP Liumy：1032：1863 ESTAB

TCP Liumy：1112：http ESTABLI

TCP Liumy：1135 20 2. 13 0. 23 9. 223：http已建立

TCP Liumy：1142 20 2. 13 0. 23 9. 223：http已建立

TCP Liumy：1162 W3I：netbios-ssn TIME_WAIT

TCP Liumy：1170 20 2. 13 0. 23 9. 133：http TIME_WAIT

TCP Liumy：2103 Liumy：0侦听

TCP Liumy：2105 Liumy：0侦听

TCP Liumy：2107 Liumy：0侦听

UDP Liumy：echo *：*

UDP Liumy：discard *：*

UDP Liumy：daytime *：*

UDP Liumy：qotd *：*

UDP Liumy：chargen *：*

UDP Liumy：epmap *：*

UDP Liumy：snmp *：*

UDP Liumy：microsoft-ds *：*

UDP Liumy：1027 *：*

UDP Liumy：1029 *：*

UDP Liumy：3527 *：*

UDP Liumy：4000 *：*

UDP Liumy：4001 *：*

UDP Liumy：1033 *：*

UDP Liumy：1148 *：*

UDP Liumy：netbios-ns *：*

UDP Liumy：netbios-dgm *：*

UDP Liumy：isakmp *：*

但是，黑客仍然使用各种方法来逃避此检测。据我所知，可能有两种方法。一种是组合端口方法，即使用特殊方法同时绑定在同一端口上。有两个TCP或UDP连接，这听起来令人难以置信，但实际上是真的，并且已经有一些程序使用类似的方法，即将木马端口绑定到特定的服务端口（例如端口80 HTTP，谁怀疑它会是一个木马程序吗？）从而达到隐藏端口的目的。另一种方法是使用Internet控制消息协议（ICMP）发送数据。原理是修改ICMP标头的结构并添加木马的控制字段。这种木马具有许多新功能，并且不会占用端口。用户很难检测到，同时使用ICMP可以穿透某些防火墙，这增加了预防的难度。此功能的原因是ICMP与TCP和UDP不同。 ICMP无需使用TCP协议即可在网络的应用层上工作。关于网络层次结构，下面给出一个图标：

5、发送数据的组织方法

数据的组织可以说是一个数学问题。关键在于传输数据的可靠性，可压缩性和高效率。为了避免被发现，木马程序必须很好地控制数据传输量。程序良好的木马通常具有自己的传输协议集。那么该程序是如何组织和实现的？下面，我将用示例包装一些协议：

typedef struct {//定义消息结构

// char ip [20];

字符类型； //消息类型

字符密码[20]； //密码

int CNum; //消息操作号

// int长度； //消息长度

}消息；

#define MsgLen sizeof（Msg）

// -------------------------------------------

//对话框数据包定义：Dlg_Msg_Type.h

// -------------------------------------------

//定义以下消息类型：

#define MsgDlgCommon 4 //连接事件

#define MsgDlgSend 5 //发送完成事件

//消息结构

typedef struct {

字符名称[20]; //对话框标题

char Msg [256]; //对话框消息内容

} MsgDlgUint;

#define MsgDlgLen sizeof（MsgDlgUint）//消息单位长度

// ------------------------------------------

//聊天数据包定义：Chat_Msg_Type.h

// ------------------------------------------

//定义以下消息类型：

#define MsgChatCommon 0 //连接事件

#define MsgChatConnect 1 //访问事件

#define MsgChatEscept 2 //结束事件

#define MsgChatReceived 16 //确认已收到对话内容

//消息结构

typedef struct {

char ClientName [20]; //客户端自定义名称

char Msg [256]; //消息已发送

} MsgChatUint;

#define MsgChatLen sizeof（MsgChatUint）//消息单位长度

// ------------------------------------------

//重新启动数据包定义：Reboot_Msg_Type.h

// ------------------------------------------

//定义以下消息类型：

#define MsgReBoot 15 //重新启动事件

// ------------------------------------------

//目录结构请求数据包定义：Dir_Msg_Type.h

// ------------------------------------------

//定义以下消息类型：

#define MsgGetDirInfo 17

#define MsgReceiveGetDirInfo 18

typedef struct {

char Dir [4096]; //您想要的目录名称

} MsgDirUint;

#define MsgDirUintLen sizeof（MsgDirUint）

// TCP消息

typedef struct {//定义消息结构

char SType; //消息类型

char SPassword [20]; //密码

// int SNum; //消息操作号

char * AllMsg;

} SMsg;

#define SMsgLen sizeof（SMsg）

#define MSGListProgram 19

#define MSGFlyMouse 21

#define MSGGoWithMouse 22

#define MSGSaveKey 23

#define MSGTracekey 24

#define MsgCopyScreen 25 // tcp接收消息，udp请求消息

#define MSGCopyWindow 26

// -------------------------

//鼠标指针隐藏和显示控件

// -------------------------

#define MsgSetMouseStat 27 //设置消息

#define MsgMouseStat 28 //成功消息

typedef struct {

布尔鼠标显示；

} MsgSetMouseStatUint;

#define MsgSetMouseStatUintLen sizeof（MsgSetMouseStatUint）

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-368790-2.html