哈嘍小伙伴們 ，今天給大家科普一個小知識。在日常生活中我們或多或少的都會接觸到遠程控制木馬_關于遠控木馬你應該了解的知識點 方面的一些說法，有的小伙伴還不是很了解，今天就給大家詳細的介紹一下關于遠程控制木馬_關于遠控木馬你應該了解的知識點 的相關內容。

(資料圖片僅供參考)

遠程控制木馬(關于遠程控制木馬你應該知道的知識點)

“遙控木馬”這個詞總感覺很有年代感。作為安全行業的菜鳥，最初的啟蒙是分析各種遙控器的受控端，了解這類惡意代碼從行為到流量的發展變化。遠程控制木馬的分析在網上隨處可見。所以本文從個人角度總結了一些對遠程控制木馬的認識，可能有所欠缺。歡迎交流學習。

從控制端熟悉遠程控制木馬的功能。

我之一次接觸遠程控制木馬的時候，大概用過上百個遠程控制軟件的客戶端。知道一個遠程控制木馬的功能，最直接的方法就是使用它。下面以GH0ST的美化版為例:

控制終端的界面功能非常清晰。首先要做的是生成一個受控終端的程序。通常，您可以設置在線IP/域名/網址等。，選擇kill還是shell，選擇進程注入、服務啟動等駐留模式。有些遙控器可以設置密碼對傳輸的數據進行加密，選擇不同的圖標等。：

這里，選擇一個XP虛擬機作為演示的受控端。受控端運行生成的exe程序后，可以在界面中看到主機。Wireshark可用于捕獲受控終端的在線流量。Gh0st遠程控制的特點是TCP流量會包含GH0ST online字符串，后面是Zlib壓縮的主機信息數據:

選擇用于Gh0st遠程控制的snort的以下規則:

Gh0st的流量具有非常典型的特征。很多遙控器其實都是Gh0st源碼改的，所以一般格式都不一樣。一段識別碼+Zlib壓縮數據(你怎么知道是Zlib？zlib壓縮的頭標是\x78\x9c)，通過這個特性可以在流量端檢測到這些遠程控制或者分析流量數據，這是目前大多數IDS/態勢感知產品使用的方法之一。

在控制端，你可以看到聯機的主機，然后執行一系列的操作。基本上，你可以在受控端做任何你想做的事情:

通過逆向理解遠程控制木馬

如果說使用它可以直觀的了解遠程控制木馬的功能，那么逆向分析就是了解這些功能是如何實現的(當然源代碼分析也是一種方法)。下面是最近抓取的一個遠程控制DLL文件，作為例子簡單分析一下。發現此DLL文件時，它正在作為服務運行:

ServiceMain先注冊了一個窗口類“TOXHJ MYLOVE”，可恥，這個名字公然告訴大家我是木馬:

然后創建一個線程，遍歷整個流程，找到軟件查殺:

然后注冊服務，即在故障排除開始時看到正在運行的服務程序:

解密C&C服務器的域名“as3421363.vicp.cc”，并與域名進行通信，其中使用的API都是動態地址:

*** 常用的幾個API，如gethostbyname、connect、recv等。：

獲取主機信息，通常包括磁盤、cpu、網卡、系統版本、安裝的安全軟件等信息。在此示例中，數據也由zlib壓縮并發送:

接收控制端的命令，解析命令并執行相應的操作，粗略看一下遠程控制木馬支持的操作如文件操作、遠程桌面、攝像頭監控、鍵盤錄音、錄音、進程操作、遠程CMD等。：

如果想知道每個功能的具體實現，可以具體分析一下。但一般在野生樣本被捕獲后，控制終端已經失去聯系，通過動態調試無法運行相應的操作。如果有興趣，可以自己生成一個受控終端，使用同一個網段的兩個虛擬機進行動態調試。

為了分析遠程控制木馬的在線流量，這里修改了主機文件，捕獲了在線包。可以看到數據段的結構和Gh0st很像，只是logo改成了Xjjhj，然后拼接壓縮后的主機信息，heartbeat packet也直接用了logo字符串:

遠程控制木馬的開發

事實上，通過以上簡單的分析，我們可以看出，傳統的遠程控制木馬雖然功能豐富，但也存在一些缺陷:

1.協議單一，通常使用TCP協議傳輸數據，沒有加密或加密算法很容易被解密；

2.系統具有單一駐留模式，如自啟動、服務啟動等。，容易被察覺；

3.木馬文件特點強，功能多，導致文件大，容易被檢測。

傳統的遠程控制木馬在攻擊中的隱蔽性不夠，所以現在衍生出很多新的木馬技術，比如注入、無文件、反沙盒、強迷惑、動態解密、反調試等手段層出不窮。在通信協議中，HTTPS和DNS隱蔽通道也被用來傳輸數據，其功能趨于簡化，更有針對性，甚至沒有交互，數據傳輸頻率極低，已經演變成一種混合型木馬。

但是，無論技術手段如何發展，只要數據通過 *** 傳輸，就會留下痕跡，還有很多未知的東西等待我們去發現。

關鍵詞： 木馬

責任編輯：Rex_06