反弹型木马原理
目前反弹型木马非常流行,这类木马与传统的远程控制软件相反,进行C/S(客户端/服务器)的反向连接。当木马服务端被种植到他人的机器中,服务端运行后,会动态分配一个端口,主动连接客户端(黑客)的80端口,如果你用“netstat -a”命令检查,将显示“TCP 本机IP:2513 远程IP:80 ESTABLISHED”类似的数据,好象是在浏览网页,因此防火墙也不会阻挡这种非法连接,给木马的防范带来了困难。
反弹型木马攻击篇
如今网上传播的反弹型木马以国产的最为常见,例如灰鸽子(牵手 2004)、黑洞2004、安哥等等。下面我们就以最新的木马──灰鸽子(牵手 2004)为例,介绍现在的木马都是如何生成、种植、使用、隐藏和防范的,其他的反弹型木马与之类似,我们就不展开介绍了。
软件小资料
运行灰鸽子,在主界面点击“配置服务程序”命令,弹出“服务端配置”画面,单击“连接类型”选项卡(如下图1),可以选择与木马服务端的连接方式。如果你想生成普通木马,可以选择“主动连接型”,这样木马运行后、就会打开别人机器上的TCP:2513端口监听,等待你的控制连接,这是传统的木马,很容易被人发现。如果你选择“自动上线型”,则生成反弹型木马,然后在“URL转向域名”、“DNS解析域名”、“网页文件”三项中任填一个,例如在“URL转向域名”栏中,填入你事先注册好的域名http://lacl.icpcn.com,这样木马服务端一上线就会连接这个地址,控制端于是便得知服务端已上线,自动与服务端连接。
图 1
