從協議上來講使用了tcp、udp、icmp、http/https、ftp和dns等協議。
正向通訊和反向通訊
木馬通訊常用的協議
tcp協議是位元組流式的傳輸協議,木馬通訊還需要自定義應用層的協議、對傳輸的資料和命令進行規範化、格式化。
tcp中有檢測死鏈結的機制,keeplive。
keeplive機制是指,當鏈結雙方沒有資料互動的時間間隔超過預定限值時,tcp會傳送乙個資料為空的報文給對方。
如果主機可達,對方就會返回ack應答,如果對方沒有返回,就繼續傳送空報文直到超時,超時之後就會判定連線中斷。
tcp連線的建立需要三次握手,而終止乙個連線則需要四次握手。
udp是乙個不可靠協議,但udp的頭部只有8位元組,相比較tcp的20位元組,開銷要小。
udp不建立連線,通過網路工具(如tcpview)檢視的時候,只能看到udp的本地埠,無法看到遠端的接收位址和埠,能有效地隱藏目標位址,
http響應包含三部分:第一行響應行,中間部分是首部行,最後是內容行。
https(httpoverssl):https由http和它下層的安全套結層組成,由http協議進行通訊,但利用ssl/tls對資料報進行加密。
基於已有應用層協議,如http/https等,將木馬的控制命令和資料報包含在這些協議的內容部分,使得木馬的通訊與正常軟體相比,不再具有明顯的特徵
在對網路限制嚴格的環境中,一般都通過防火牆限制使用者的網路訪問,使用者只能通過**伺服器的**功能,使用有限的網路服務。
**功能有兩類:
http**服務從認證方式上可以分為兩大類:
在實際網路環境中,尤其是一些部署了isa、tmg之類的防火牆後,basic和ntlm經常作為http**的認證機制使用。
木馬通過獲取**的型別,根據**的型別獲取必要的認證資訊,在此基礎上實現**所使用的協議,與**伺服器進行互動,進行認證後再進行木馬自身的通訊過程。
利用瀏覽器程序注入的方式獲取**資訊。瀏覽器程序啟動,注入木馬的dll。該dll的功能是hook瀏覽器的發包函式,過濾其中的http/https協議,檢視http請求中的頭部資訊。
1、通過讀取當前系統中的explorer.exe程序中的tokenuser,得到當前系統的登入使用者名稱。
2、通過windows api的lsaenumeratelogonsession獲取當前系統的所有登入session。
3、lsaenumeratelogonsession執行完成,logonsessioncount是乙個指向當前系統登入session編號陣列的指標。
4、通過當前登入使用者名稱,從步驟2的結果中找到當前使用者的security_logon_session_data和session的編號。
5、在lsass.exe程序中查詢wdigest.dll模組,該模組中有乙個list_entry組織的雙向鍊錶,鍊錶中每個節點以unicode字符集儲存了使用者名稱、加密後的密碼、網域名稱等資訊。
6、通過lsaunprotectmemory函式對加密的密碼進行解密,便可獲取明文的密碼,從而獲取完整的使用者資訊。
《木馬核心技術剖析》 安全防護 PHP木馬的攻擊的防禦之道
首先修改httpd.conf,如果你只允許你的php指令碼程式在web目錄裡操作,還可以修改httpd.conf檔案限制php的操作路徑。比如你的web目錄是 usr local apache htdocs,那麼在httpd.conf裡加上這麼幾行 php admin value open base...
木馬客戶端與服務端隱蔽通訊解析
現代木馬的實現是建立在一種既可靠,又不易被宿主發現的通訊方案上的,本文就是對各種方案的實現方法,可靠性,安全性做了一些理論上的 充分的理解木馬的客戶端和服務端是怎麼進行隱藏的,不但可以幫助您能深刻的理解網路通訊的原理,也可以更有效的做好安全防範。基於此我們編髮了此文,下面我們進入正題。首先應該明確的...
Dataforth資料採集和通訊風險防護解決方案
dataforth成立於1984年,為日益擴大的工廠自動化市場提供訊號調理,資料採集和資料通訊風險防護解決方案。該企業最初由burr brown集團創立,是模擬積體電路和相關產品的國際專業裝置 商。dataforth在保持持續發展的同時,不斷推出新產品,為客戶提供適用於其工業應用的高質量解決方案。產...