反向木馬的主要種植手段是通過IE的眾多漏洞,BT下載時不小心運行,或者來路不明的軟件,使未打補丁的用戶點擊之後下載運行了木馬程序,而這些用戶基本都是擁有動態IP的個人用戶,5自學網,若不使用反向連接的方式,勢必無法長久控制。 下面讓我們來討論一下如何查出木馬的最關鍵的要素――反向連接域名,知道了反向連接域名,你就可以隨時了解到幕後元凶究竟在哪,是否在線等隱私資料,自學教程,甚至可以進行域名劫持,從而使他所控制的單位全都連到你所設置的IP上去,可見反向域名一旦暴露,要抓住幕後黑手是輕而易舉的事情。木馬反向連接必須先向域名服務器發送查詢要求,然後由域名服務器返回查詢結果――域名對應的IP,有了IP之後再去連接主控端。而許多木馬都通過修改系統文件,進程插入,API HOOK等眾多方式實現了在系統中服務隱藏,進程隱藏,文件隱藏,端口隱藏,所以此時系統的輸出已經不是可靠的輸出了,可能你的抓包數據已經被惡意篡改,抹去了木馬的相關數據(事後發現我的測試對象灰鴿子並沒有這麼做,但不排除別的木馬會這麼做)。於是我想到了通過物理上的方法,木馬雖然可以在系統中隱藏,但是這個域名查詢的請求無論如何都會經過網線或者無線信號傳送出去。 為了查出反向連接域名,構建以下網絡拓撲結構: 一台NOTEBOOK和一台PC連接在HUB上,ADSL MODEM接到HUB的UPLINK口上(注意:一般HUB的UPLINK口與旁邊的接口絕對不能同時使用),選用HUB而不是寬帶路由器的原因是我沒錢…呵呵,其實真正的原因是HUB可以把任意一個端口發送的數據轉發到除了本身端口外的其他任何一個端口,所以NOTEBOOK網卡的所有數據都會流經 PC的網卡,NOTEBOOK系統中可能被木馬隱藏的網絡數據,都會毫無保留的暴露再PC機的網卡上。 需要真正透徹理解從而提高技術還是需要實踐,下面我就拿國內比較著名的灰鴿子木馬做試驗,嘗試找出灰鴿子木馬的反向連接域名(大家完全可以用別的木馬做測試,因為我的機器不小心中了灰鴿子所以才將計就計)。PC機上的監聽工具選擇了TcpDump的WINDOWS版本WinDump,現在想來多余了,PC 上裝著LINUX呢,可以直接使用TcpDump。WinDump的使用需要先安裝WinPcap 3.1,然後下載WinDump version 3.9.3,就可以直接運行了。 監聽前介紹一下NOTEBOOK的狀態,中了灰鴿子木馬。查到服務名的方法很簡單,使用入侵檢測工具icesword,那麼更容易了,打開就可以查看到所有進程和所有服務,無論是否隱藏的,一目了然發現IEXPLORER進程和lente服務是隱藏的,於是禁止lente服務。(假如沒有 icesword也沒問題,進入安全模式,system32文件夾下搜索_hook.dll,發現一個systen_Hook.dll,明顯是灰鴿子,注冊表中搜索systen,發現關聯的服務名為lente),把中了灰鴿子的NOTEBOOK一切有關網絡的第三方開機自啟動程序都禁止,防止引起不必要的域名查詢混淆監聽結果,把lente服務改成Manual方式,最後啟動服務,在PC機上觀察監聽結果。
