木马用户端与服务端通讯是如何隐藏的
　

　
　

一个成功的木马必须实现一种既可靠，又不易被宿主发现的通讯方案，下面在我所知的范围内对各种方案的实现方法，可靠性，安全性做一些探讨。文中错误之处一定很多，欢迎大家指出，更希望能有木马开发经验的高手写一些这方面的文章，能让不管是骇客，还是普通用户，都得到一定的提高。至于什么警告的我也不多说了，反正看了文章你去做坏事与我是毫无关系的。下面进入正题。
  首先应该明确的是受害者的机器上运行的木马程式我们称之为服务端，控制者机器上运行的我们称之为用户端（其实对于现代的木马，已经很难说谁是客户，谁是服务了，不过我们还是继续用这种叫法）。另外虽然Windows9x仍然有巨大的用户基础，但是Windows9x向Windows XP迁徙只是早晚问题，所以这里的讨论主要是针对NT/2000/XP平台的。

1.使用TCP协定，服务端侦听，用户端连接。这是最简单，最早，最广泛使用的一种通讯方案。使用过冰河或者被冰河用户端扫过的对此一定不会陌生。这种通讯方案是服务端在宿主机器上开一个TCP埠，然后等待用户端的连接，在通过对用户端的认证后，用户端就可以控制服务端了。由于是建立在TCP协定基础上，所以通讯的可靠性是得到保证的。但是通讯的安全性却很成问题。首先，使用像fport,tcpview pro这样的工具可以很容易的发现在某一埠上侦听的进程，以及进程对应的可执行档。其次，在安装了防火墙的机器上，当用户端连接到服务端时，很容易引起防火墙报警。

2.使用TCP协定，用户端侦听，服务端连接。这就是所谓的反向连接技术了。为了克服服务端在某一埠上侦听易被发现这一缺点，现在服务端不再侦听埠，而是去连接用户端在侦听的某一埠。这样用一般的port scanner或者fport就很发现不了服务端了。而为了更好的麻痹宿主机，用户端侦听的埠一般是21,80,23这种任何人都要访问的埠。虽然在安装了防火墙的机器上，服务端去连接用户端还是要引起防火墙报警，但是一个粗心的用户很可能会忽略“应用程式xxxxx试图访问xxx.xxx.xxx.xxx通过埠80”这样的警告。

  这种反向连接技术要解决的一个问题是，服务端如何找到用户端。由于一般用户端都是拨号上网的，没有一个固定的IP，所以用户端IP不可能硬编码在服务端程式中。当然由于拨号上网用户的IP一般都是处于一个固定的IP位址范围内，服务端也可以扫描这个范围，然后根据被扫描主机的回馈来确定是否是自己的用户端，但是服务端扫描一个IP位址范围也太……另一个方法是用户端通过一个有固定IP或者固定功能变数名称的第三方发布自己的IP，实现的方法就很多了，比如通过一个公共的邮箱，通过一个个人主页，就看你有多大的想像力的。

3.使用UDP协定，服务端侦听，用户端连接；用户端侦听，服务端连接。方法和安全性与使用TCP协定差不多。需要注意的是UDP不是一个可靠的协议，所以，必须在UDP协议的基础上设计一个自己的可靠的报文传递协议。

4.解决防火墙问题，无论是服务端被动侦听，还是服务端主动连接，在服务端和用户端试图建立连接时都会引起防火墙得报警。毕竟粗心得用户不会很多，所以，解决防火墙报警是服务端必须要解决的一个问题。一种方法是代码注入，服务端将自己注入到一个可以合法的与外界进行网路通讯的进程(比如 IE, ICQ, OICQ, TELNTED, FTPD, IIS等）的位址空间中，然后或者可以以一个新线程的形式运行，或者只是修改宿主进程，截获宿主进程的网路系统调用(WinSock)。后者的实现可能要麻烦一些。如果是以新线程的形式运行，那么然后或者可以被动侦听，或者可以主动连接。

  无论哪种情况都不会引起防火墙的报警(当然不是百分之百不会引起防火墙报警)。但要注意的是如果是被动侦听的话，比如寄生在IE内，用fport会发现IE在某一个埠侦听，这有可能会引起细心的用户的警觉。所以比较好得方法是在新线程内去主动连接用户端，而且连的是用户端的80埠；如果是寄生在OICQ内，何不连接用户端的8000埠。使用代码注入需要服务端具有若干特权，考虑到一般用户都是以Admin身份启动NT的，这应该不是一个问题(如果服务端是作为一个service启动的话，就更没问题了)。

5.再讨论一下服务端主动连接时用户端IP的公布问题。

  使用第三方公布用户端IP不是一种可靠的方法。比如如果是通过一个个人主页发布用户端IP的话，一旦由于种种原因，这个个人主页被主页提供商取消的话，服务端就找不到用户端了。而这种个人主页被主页提供商取消的可能性是很大的。同时用户端也要冒暴露自己的IP的风险。所以更好的方法是用户端通过某种方法主动告诉服务端自己的IP和埠，然后服务端来连接。这样可以保证最大的可靠性，安全性和灵活性。

  服务端怎么收到用户端的通知呢？一种方法是我们截获其他进程收到的TCP资料或者UDP包，然后分析截获的资料，从中确定是否用户端发来了一个报告其IP的资料片断。另一种方法是使用RAW socket来收听ECHO REPLY类型的ICMP包，在ICMP资料包的资料去就包含了用户端IP。而对于普通用户来说，由于要上网流览，这样的ICMP包是很少过滤掉的。

6.用ICMP来通讯。

  既然用户端可以通过发一个ICMP(ECHO REPLY)来告诉服务端它的IP，那为什么不把所有服务端和用户端的通讯都建立在ICMP的基础上呢?服务端向用户端发ICMP(ECHO REQUEST)，用户端向服务端发ICMP(ECHO REPLY)，然后可以在ICMP基础上建立一个自己的可靠资料报通讯协定。如果不怕烦的话，还可以建立一个TCP over ICMP。由于一般的用户这两类ICMP包都是设为无警告放行的，这种方法的隐秘性还是很强的。

7. 用自定义的协定来通讯。

  我们知道IP头的协议栏位指定了这个IP包承载得资料的协定，比如TCP,UDP,ICMP等等。我们完全可以把这个栏位设为我们自己定义的值(>80)，定义自己的通讯协定。不过估计这种IP包将会被所有的防火墙过滤掉。

8.关于伺服器上的木马的通讯隐藏。

  前面所说都是针对个人用户(大部分都是拨号用户，包括Modem,ISDN,ADSL,FTTX+LA,Cable Modem)。对这类机器来说，一般都没有开什么服务，而且一般都使用了个人防火墙，同时ICMP ECHO REPLY/REQUEST都是放行的，所有才有我们上述的各种方案。而对于伺服器来说，至少要开HTTP服务，同时，又一般位于专门的防火墙之后。这个专门的防火墙很可能过滤掉除类型为TCP，且目的埠为80的IP包之外的所有的IP包，更不要说各类ICMP包了。向下的方案通不过，我们可以试试向上的方案。一种方法就是注射到IIS服务的进程空间中，然后在IIS接受到木马用户端的请求前来个预处理，在IIS将资料发给木马用户端时来个后处理，不过我不知道怎么实现，不知哪为高手知道。

  另一种方法就是写一个ISAPI AP，这样，木马用户端发个http://xxx.xxx.xxx.xxx/ba...cmd=dir+c:\请求来发命令了。当然，一切资讯都是加密得。RPC除了RPC over SMB,RPC over TCP等等外，还有一个RPC over HTTP，事实上QQ的http代理就是他自己定义的一个rpc over http，至少QQ自己是这么叫的。现在，我们也来了个rpc over http。

  通讯隐藏技术只是木马隐藏诸技术中得一部分，但也是最重要的一部分。因为他不但要保护木马，还要保护木马得控制者，所以不管是木马编写者，还是防火墙编写者，都应该对这一部分给于足够的重视。