我是木马程序。我是浏览器安装包中捆绑的木马程序。安装了浏览器,我就这么轻松的闯入了这台电脑。我藏在临时目录中。这里的文件很多,来来往往的人也很多,但不容易被发现。没过多久我就发现了,小子,这台电脑里的木马不止我一个,我来晚了,这台电脑的主人真是个菜鸟,一点安全意识都没有!“喂,新来的,怎么闯进来了?”一个小程序找到了我,我看了一眼,大约20KB。“你是谁,我的使命不能告诉你”,我回答道。“别紧张,我也是木马程序,你不说我也能猜到你在干什么,说不定你是想窃取数据对不对?不过我觉得你是要去白跑一趟,这里几十G的视频文件,没有什么价值。”少年不屑的说道。我没理他,自己找了个安静的地方,见机行事。端口反弹的时间很快就来到了晚上,电脑里的程序都一个一个休息了,CPU终于空闲下来了。准备好了数据和代码,打算大干一场。忙得满头大汗,白天不知什么时候,那小子又出现了。“好家伙,我没看出来,你竟然是个挖矿木马!”男孩坏笑着说道。“嘘!小点声,”我连忙堵住他的嘴。这小子力气不小,挣扎着想要挣脱,“怕什么,这里又没有杀毒软件,我们随便玩玩!”“难怪我这么轻松就进来了,就算不用杀毒软件,这电脑的主人也够大的!”说完我就去监听一个端口,等着外面的朋友接进来,保持联系。“你在干什么?”小个子问道。“监听端口,等我的朋友连接上,我们就可以上线了。”“你不能这样,虽然这里没有杀毒软件,但还是有防火墙的,外面很容易连上。”,小个子说道。“那我该怎么办?”“外面不允许连进来,你可以主动连出去!你可以假装成浏览器,在外面连上你哥的80端口。算了,这种控制端之间反向连接的操作而且服务端叫端口弹跳,你出来闲逛都没人教过你,到这种程度还来做木马?这家伙说我有点尴尬,按照他的建议,我成功连接上了我的控制服务器,等着他随时给我指点。就这样呆了几天,每天晚上有空的时候,我开始工作,一直很顺利,直到……DNS隐蔽通信的那天,小个子气喘吁吁地跑来告诉我坏消息:“不好,刚刚,电脑的主人装了杀毒软件,最近他低调行事,我们还是闭口不提吧!”我连忙切断了通讯联系,不敢轻举妄动。连续几天下来,我有点着急了。一直躲着也不是办法,还得和外面联系!外面的兄弟一定很着急!小人看出我的着急,给了我一个主意:“你可以试试用DNS协议秘密传输数据”“DNS?如何传输数据?”“可以将数据进行base64编码,作为域名字段,通过发送DNS解析请求来发送数据!就这样:”,小家伙给我画了一张图。“这个域名能传输多少数据,你做不到!”,我表示疑惑。“你傻啊,一个请求不够了,你再发几条就行了!”也对,我打算试一试,看看能不能行得通。别说,数据顺利传出去了,就是心里还是挺紧张的,怕在这个底下作案。杀毒软件的鼻子,ICMP隐蔽通信的招数过了几天也没用,数据一直发不出去,可能是被盯上了,我又发现那个小木马了。”看来“用DNS域名太高调了,别着急,你也可以用ICMP协议来传输。”这小子又给了我一招。Internet控制消息协议,用于在IP主机和路由器之间传输控制消息。控制消息是指网络是否不可达、主机是否可达、路由是否可用等有关网络本身的信息。你看,它的数据格式是这样的:“”我知道,我可以在报文的数据部分传输我要发送的内容“”没错!ICMP不是传输层协议,它不开放和使用端口,所以不那么容易引起注意,连ping程序都用它来工作,你可以冒充他与外界秘密通信,”说小木马很自信,这家伙见多识广,按照他教我的,我又用ICMP协议偷偷跟外面联系了,希望这次不要再被发现了,可惜HTTP隐蔽通信是可惜,这不是人们想要的,这次的有效时间比以前短了,而且只有第三天才过期!“好家伙,这个安全软件不错。看来我被迫扩大我的技巧。这次换成HTTP传输吧,”小木马说道。“什么?使用HTTP?那不是更容易暴露吗?”,我问道。“你不知道,最危险的地方就是最危险的地方。网上HTTP流量这么大,不容易察觉!再说了,我还有绝招……”这家伙故作神秘,说了一半又咽了下去。“快点,我好着急,催促道。数据必须编码。HTTP不是基于文本的传输协议吗?我们可以用tabs代表1,空格代表0,这样就算被抓到也是一片空白,什么都看不到,怎么样?”好家伙,这一招果然好用!我赶紧把数据重新编码,一个个封装在HTTP包里,一个个发送出去。几天都没有找到。看来这一招还是挺管用的。就在我得意洋洋的时候,小木马又传来了一个坏消息:“赶紧找个地方躲起来,安全软件正在扫描整个系统……”我连忙断开所有通讯连接,关闭所有活跃进程,不知道能不能逃过这一劫~隐藏是木马最重要的能力。藏不住,还没动手就死了。隐藏主要包括三个方面:隐藏文件、隐藏进程、隐藏通信、隐藏本文以故事的形式介绍了木马常用的一些隐藏通信方式。文章比较简单,但实际情况远比这复杂。在实际应用中,隐藏通信的核心是隐藏正常通信流量中的信息和数据。在不被发现的情况下,这涉及到网络协议、加解密技术,甚至是信息论和编码知识的综合应用。面对文中介绍的几种方法,如果你要做安全测试,你打算怎么判断是可疑流量还是正常通信呢?本文转载自微信♂“编程技术宇宙”,可通过以下二维码关注。转载本文请联系编程技术宇宙公众号。
