分析木马客户端与服务端隐蔽通讯

　　 现代木马的实现是建立在一种既可靠，又不易被宿主发现的通讯方案上的，本文就是对各种方案的实现方法，可靠性，安全性做了一些理论上的探讨。充分的理解木马的客户端和服务端是怎么进行隐藏的，不但可以帮助您能深刻的理解网络通信的原理，也可以更有效的做好安全防范。基于此我们编发了此文，下面我们进入正题。 

　　首先应该明确的是受害者的机器上运行的木马程序我们称之为服务端，控制者机器上运行的我们称之为客户端（其实对于现代的木马，已经很难说谁是客户，谁是服务了，不过我们还是继续用这种叫法）。另外虽然windows9x仍然有巨大的用户基础，但是windows9x向windows xp迁徙只是早晚问题，所以这里的讨论主要是针对nt/2000/xp平台的。 

　　1.使用tcp协议，服务端侦听，客户端连接。 

　　这是 简单， 早， 广泛使用的一种通讯方案。使用过冰河或者被冰河客户端扫过的对此一定不会陌生。这种通讯方案是服务端在宿主机器上开一个tcp端口，然后等待客户端的连接，在通过对客户端的认证后，客户端就可以控制服务端了。由于是建立在tcp协议基础上，所以通讯的可靠性是得到保证的。但是通讯的安全性却很成问题。首先，使用像fport,tcpview pro这样的工具可以很容易的发现在某一端口上侦听的进程，以及进程对应的可执行文件。其次，在安装了防火墙的机器上，当客户端连接到服务端时，很容易引起防火墙报警。 

　　2.使用tcp协议。 

　　客户端侦听，服务端连接。这就是所谓的反向连接技术了。为了克服服务端在某一端口上侦听易被发现这一缺点，现在服务端不再侦听端口，而是去连接客户端在侦听的某一端口。这样用一般的port scanner或者fport就发现不了服务端了。而为了更好的麻痹宿主机，客户端侦听的端口一般是21,80,23这种任何人都要访问的端口。虽然在安装了防火墙的机器上，服务端去连接客户端还是要引起防火墙报警，但是一个粗心的用户很可能会忽略"应用程序xxxxx试图访问xxx.xxx.xxx.xxx通过端口80"这样的警告。 

　　这种反向连接技术要解决的一个问题是，服务端如何找到客户端。由于一般客户端都是拨号上网的，没有一个固定的ip，所以客户端ip不可能硬编码在服务端程序中。当然由于拨号上网用户的ip一般都是处于一个固定的ip地址范围内，服务端也可以扫描这个范围，然后根据被扫描主机的反馈来确定是否是自己的客户端，但是服务端扫描一个ip地址范围也太。另一个方法是客户端通过一个有固定ip或者固定域名的第三方发布自己的ip，实现的方法就很多了，比如通过一个公共的邮箱，通过一个个人主页，就看你有多大的想象力。 

　　3.使用udp协议。 

　　服务端侦听，客户端连接；客户端侦听，服务端连接。方法和安全性与使用tcp协议差不多。需要注意的是udp不是一个可靠的协议，所以，必须在udp协议的基础上设计一个自己的可靠的报文传递协议。 

　　4.解决防火墙问题。 

　　无论是服务端被动侦听，还是服务端主动连接，在服务端和客户端试图建立连接时都会引起防火墙得报警。毕竟粗心得用户不会很多，所以，解决防火墙报警是服务端必须要解决的一个问题。一种方法是代码注入，服务端将自己注入到一个可以合法的与外界进行网络通讯的进程(比如 ie, icq, oicq, telnted, ftpd, iis等）的地址空间中，然后或者可以以一个新线程的形式运行，或者只是修改宿主进程，截获宿主进程的网络系统调用(winsock)。后者的实现可能要麻烦一些。如果是以新线程的形式运行，那么然后或者可以被动侦听，或者可以主动连接。 

　　无论哪种情况都不会引起防火墙的报警(当然不是百分之百不会引起防火墙报警)。但要注意的是如果是被动侦听的话，比如寄生在ie内，用fport会发现ie在某一个端口侦听，这有可能会引起细心的用户的警觉。所以比较好得方法是在新线程内去主动连接客户端，而且连的是客户端的80端口；如果是寄生在oicq内，何不连接客户端的8000端口。使用代码注入需要服务端具有若干特权，考虑到一般用户都是以admin身份启动nt的，这应该不是一个问题(如果服务端是作为一个service启动的话，就更没问题了)。 
  作者：
来源：enet硅谷动力