以前看过很多种木马的讨论,其中最著名的大概就是SHOTGUN的《撩开木马的神秘棉纱》,里面谈到了很多种木马的实现,比如用ICMP协议,端口重用,远程线程插入等等
后来又有反弹端口,HTTP协议封装等木马,但是这些木马终究是运行在用户层,而运行在核心层的防火墙终归是可以拦截的最近在学习NDIS驱动编程的时候想,能不能弄一个驱动级别的木马?做在NDIS这一层,截获所有的数据包进行解析,符合我们木马实现定义好的格式通讯格式就表明是我们木马控制端发来的数据,这样就进行相应的处理,如果不是,就正常转发。而且因为是在核心层,用户根本没有感觉,并且防火墙也发现不了,对于用户发出的数据,我们完全可以把转发给另外一个地方,就像代理服务器一样,是不是很有意思?
不过做成这样的木马有个问题,就是安装比较棘手大家来讨论一下
而且我觉得以后木马和病毒结合最好了,综合木马的可控制性和病毒的传染性的木马一定很强悍
后来又有反弹端口,HTTP协议封装等木马,但是这些木马终究是运行在用户层,而运行在核心层的防火墙终归是可以拦截的最近在学习NDIS驱动编程的时候想,能不能弄一个驱动级别的木马?做在NDIS这一层,截获所有的数据包进行解析,符合我们木马实现定义好的格式通讯格式就表明是我们木马控制端发来的数据,这样就进行相应的处理,如果不是,就正常转发。而且因为是在核心层,用户根本没有感觉,并且防火墙也发现不了,对于用户发出的数据,我们完全可以把转发给另外一个地方,就像代理服务器一样,是不是很有意思?
不过做成这样的木马有个问题,就是安装比较棘手大家来讨论一下
而且我觉得以后木马和病毒结合最好了,综合木马的可控制性和病毒的传染性的木马一定很强悍
哈哈
我只是这个想法,觉得这是一个思路,因为目前在用户层的木马技术基本到了尽头其实做驱动很复杂
还有什么IFS IO同步等等
头痛
核心层的木马对操作系统的选择性就比较大了...