解析木马客户端与服务端隐蔽通讯的实现方案

全站搜索

首页 -> 技术学院 -> 系统安全 -> 病毒剖析

解析木马客户端与服务端隐蔽通讯的实现方案

2004-11-18 作者：水蜜桃编辑阅读量：

6. 用ICMP来通讯

既然客户端可以通过发一个ICMP(ECHO REPLY)来告诉服务端它的IP，那为什么不把所有服务端和客户端的通讯都建立在ICMP的基础上呢?服务端向客户端发ICMP(ECHO REQUEST)，客户端向服务端发ICMP(ECHO REPLY)，然后可以在ICMP基础上建立一个自己的可靠数据报通讯协议。如果不怕烦的话，还可以建立一个TCP over ICMP。由于一般的用户这两类ICMP包都是设为无警告放行的，这种方法的隐秘性还是很强的。

7. 用自定义的协议来通讯

我们知道IP头的协议字段指定了这个IP包承载得数据的协议，比如TCP,UDP,ICMP等等。我们完全可以把这个字段设为我们自己定义的值(>80)，定义自己的通讯协议。不过估计这种IP包将会被所有的防火墙过滤掉。

8. 关于服务器上的木马的通讯隐藏

前面所说都是针对个人用户(大部分都是拨号用户，包括Modem,ISDN,ADSL,FTTX+LA,Cable Modem)。对这类机器来说，一般都没有开什么服务，而且一般都使用了个人防火墙，同时ICMP ECHO REPLY/REQUEST都是放行的，所有才有我们上述的各种方案。而对于服务器来说，至少要开HTTP服务，同时，又一般位于专门的防火墙之后。这个专门的防火墙很可能过滤掉除类型为TCP，且目的端口为80的IP包之外的所有的IP包，更不要说各类ICMP包了。向下的方案通不过，我们可以试试向上的方案。一种方法就是注射到IIS服务的进程空间中，然后在IIS接受到木马客户端的请求前来个预处理，在IIS将数据发给木马客户端时来个后处理，不过我不知道怎么实现，不知哪为高手知道。

另一种方法就是写一个ISAPI AP，这样，木马客户端发个http://xxx.xxx.xxx.xxx/backdoor.dll?cmd=dir+c:\请求来发命令了。当然，一切信息都是加密得。RPC除了RPC over SMB,RPC over TCP等等外，还有一个RPC over HTTP，事实上QQ的http代理就是他自己定义的一个rpc over http，至少QQ自己是这么叫的。现在，我们也来了个rpc over http。

通讯隐藏技术只是木马隐藏诸技术中得一部分，但也是最重要的一部分。因为他不但要保护木马，还要保护木马得控制者，所以不管是木马编写者，还是防火墙编写者，都应该对这一部分给于足够的重视。