木马程序的数据传递方法有很多种,其中最常见的要属TCP,UDP传输数据的方法了,通常
是利用Winsock与目标机的指定端口建立起连接,使用send和recv等API进行数据的传递,但
是由于这种方法的隐蔽性比较差,往往容易被一些工具软件查看到,最简单的,比如在命令
行状态下使用netstat命令,就可以查看到当前的活动TCP,UDP连接。
躲避了这种侦察,就我所知的方法是合并
端口法,也就是说,使用特殊的手段,在一个端口上同时绑定两个TCP或者UDP连接,通过把自己的木马端口绑定于特定的服务端口之上,(比如80端口的HTTP)从而达到隐藏端口的目地。
原理是这个想法,可是要代码实现,哪位朋友能帮我讲讲?分析分析要用到什么??
谢了,要是有现成的代码,那再好不过拉:)
是利用Winsock与目标机的指定端口建立起连接,使用send和recv等API进行数据的传递,但
是由于这种方法的隐蔽性比较差,往往容易被一些工具软件查看到,最简单的,比如在命令
行状态下使用netstat命令,就可以查看到当前的活动TCP,UDP连接。
躲避了这种侦察,就我所知的方法是合并
端口法,也就是说,使用特殊的手段,在一个端口上同时绑定两个TCP或者UDP连接,通过把自己的木马端口绑定于特定的服务端口之上,(比如80端口的HTTP)从而达到隐藏端口的目地。
原理是这个想法,可是要代码实现,哪位朋友能帮我讲讲?分析分析要用到什么??
谢了,要是有现成的代码,那再好不过拉:)
该问题已经结贴 ,得分记录: awnucel (100)
很感谢你提供这个SPI新思想,不过,这个新木马我早就看过了,
三月分就在玫瑰论坛贴出过了:)
awnucel
老兄,还有没有别的思路呢,
呵呵,本人有点贪心:)