反弹型木马原理
目前反弹型木马非常流行,这类木马与传统的远程控制软件相反,进行C/S(客户端/服务器)的反向连接。当木马服务端被种植到他人的机器中,服务端运行后,会动态分配一个端口,主动连接客户端(黑客)的80端口,如果你用“netstat -a”命令检查,将显示“TCP 本机IP:2513 远程IP:80 ESTABLISHED”类似的数据,好象是在浏览网页,因此防火墙也不会阻挡这种非法连接,给木马的防范带来了困难。
|
本文主要内容 | ||
|
| ||
| 下面我们就以最新的反弹型木马──灰鸽子(牵手 2004)为例,介绍这类木马都是如何生成、种植、使用和隐藏…… | ||
| 一、生成木马的服务端 | 二、把木马植入他人的电脑中 | 三、远程控制对方 |
| 四、木马服务端的加壳保护 | 五、灰鸽子的手工清除 | |
|
| ||
| 面对越来越猖獗的反弹型木马,我们为你准备了一些防范措施,通过对网络自身的设置,以及软件的帮助,你就不再害怕反弹型木马对你造成危害…… | ||
| 一、关闭不用的端口 | 二、安装杀毒软件 | 三、使用反木马软件 |
| 四、使用第三方防火墙 | 五、在线安全检测 | 六、经常观察连接情况 |
| 木马专题推荐 |
|
反弹型木马攻击篇
如今网上传播的反弹型木马以国产的最为常见,例如灰鸽子(牵手 2004)、黑洞2004、安哥等等。下面我们就以最新的木马──灰鸽子(牵手 2004)为例,介绍现在的木马都是如何生成、种植、使用、隐藏和防范的,其他的反弹型木马与之类似,我们就不展开介绍了。
软件小资料
运行灰鸽子,在主界面点击“配置服务程序”命令,弹出“服务端配置”画面,单击“连接类型”选项卡(如下图1),可以选择与木马服务端的连接方式。如果你想生成普通木马,可以选择“主动连接型”,这样木马运行后、就会打开别人机器上的TCP:2513端口监听,等待你的控制连接,这是传统的木马,很容易被人发现。如果你选择“自动上线型”,则生成反弹型木马,然后在“URL转向域名”、“DNS解析域名”、“网页文件”三项中任填一个,例如在“URL转向域名”栏中,填入你事先注册好的域名http://lacl.icpcn.com,这样木马服务端一上线就会连接这个地址,控制端于是便得知服务端已上线,自动与服务端连接。
图 1
相关文章