2024年【C2架构】

最新推荐文章于 2024-07-03 11:30:26 发布

说又槐

最新推荐文章于 2024-07-03 11:30:26 发布

阅读量92

点赞数 2

分类专栏：程序员文章标签：架构

本文链接：https://blog.csdn.net/2301_76225520/article/details/138359620

版权

程序员专栏收录该内容

150 篇文章 1 订阅

订阅专栏

网络协议层 icmp（ping）
应用协议层 HTTP/HTTPS、FTP、DNS、SMTP
应用服务层社交平台，网盘，消息推送服务


### 传输协议层


使用这层协议的恶意软件，不打个人终端，主要目标是关键基础设施的服务器，尤以 linux 为甚。原因有两个：


1. 设备必须暴露在公网，传输协议层的恶意软件，都是被动监听。为了隐蔽性，往往不进行主动链接。
2. 个人终端上有更好的C2方案。


其实不只是TCP、UDP，自数据链路层上，都可用户进行C2命令传输，处于内网渗透通信，使用 ARP 也不是不可能。但是如果网际数据传输，必须要传输层以上协议才可以。


#### 基于 TCP/UDP 自定义协议网络通信分析


上线数据包：上线数据包中 一般会包含受害主机的一些基本信息，例如计算机名称，硬件 ID，计 算机版本信息等等内容，在传输之前，可能使用一些比较简单的自定 义算法，或者 RSA、AES 这类成熟的算法进行加密。


对于加密数据的处理，需要确定的是是否有采用已知的算法，定 位一些关键函数是非常快速的方法，以 Windows 程序为例:需要确 定是否导入了 Crypt\*系列的函数。如果有，查看 CryptGenKey、 CryptImportKey 函数来截获加密类型及加密密钥信息，查看 CryptEncrypt 函数来截获要加密的内容。如果没有导入这类函数，很有可能是采用了自定义的加密算法，最快的跟踪方法是定位到发送部 分的函数，向前追溯，找到加密函数。


当发现无法连接到僵尸网络的主控服务器上(即 C&C 服务 器)，为了让程序正常执行，并且捕获数据包，你需要对 C&C 服务器 进行模拟


在分析恶意软件时，如果该恶意软件使用了域名作为连接的 途径，我们可以在调试的过程中发现 gethostbyname 函数，我们可以 修改其返回值为我们自己虚拟机的 IP 地址。在虚拟机 上，我们可以运行 TCP 监听软件或者是 **netcat**，监听恶意程序需要连接的端口，直到其连接即可获取上线数 据包中的内容。


根据 **IDA 中解析命令数据包的代码**来对整个命令包的数据格式进 行分析，是了解功能的最佳途径，采用这种方法能够获取完 整的指令表。


### 网络协议层


[ICMP通信]( )


### 应用协议层


C2 架构比较常用的：[http]( )/[https]( )、FTP、[DNS]( )、[SMTP]( )等等。  
 使用应用层协议进行C2通信最重要的是隐蔽性、其次才是传输效率和适用场景。  
 传输文件：  
 如果进行文件下发和数据上传，最常见的选择是http、ftp。为了增加隐蔽性，某些样本加上DGA.  
 指令下发：  
 指令下发，不需要太多的流量载荷。一些样本追求隐蔽性，使用DNS隧道技术。


网际通信：在一些隔离环境中，邮件服务器常常被列为白名单。可以使用SMTP协议，进行内外网的通讯。  
 局域网内通信：局域网内一般会有IDS进行检测，动作太大会被发现，除了常规使用的通信方法外，LPR、RAW网络打印协议也是比较好的选择。



为了做好运维面试路上的助攻手，特整理了上百道 **【运维技术栈面试题集锦】** ，让你面试不慌心不跳，高薪offer怀里抱！

这次整理的面试题，**小到shell、MySQL，大到K8s等云原生技术栈，不仅适合运维新人入行面试需要，还适用于想提升进阶跳槽加薪的运维朋友。**

![](https://img-blog.csdnimg.cn/img_convert/ed1cbc7cf54ea04b758f416dc8019dd3.png)

本份面试集锦涵盖了

*   **174 道运维工程师面试题**
*   **128道k8s面试题**
*   **108道shell脚本面试题**
*   **200道Linux面试题**
*   **51道docker面试题**
*   **35道Jenkis面试题**
*   **78道MongoDB面试题**
*   **17道ansible面试题**
*   **60道dubbo面试题**
*   **53道kafka面试**
*   **18道mysql面试题**
*   **40道nginx面试题**
*   **77道redis面试题**
*   **28道zookeeper**

**总计 1000+ 道面试题， 内容 又全含金量又高**

*   **174道运维工程师面试题**

> 1、什么是运维?

> 2、在工作中，运维人员经常需要跟运营人员打交道，请问运营人员是做什么工作的?

> 3、现在给你三百台服务器，你怎么对他们进行管理?

> 4、简述raid0 raid1raid5二种工作模式的工作原理及特点

> 5、LVS、Nginx、HAproxy有什么区别?工作中你怎么选择?

> 6、Squid、Varinsh和Nginx有什么区别，工作中你怎么选择?

> 7、Tomcat和Resin有什么区别，工作中你怎么选择?

> 8、什么是中间件?什么是jdk?

> 9、讲述一下Tomcat8005、8009、8080三个端口的含义？

> 10、什么叫CDN?

> 11、什么叫网站灰度发布?

> 12、简述DNS进行域名解析的过程?

> 13、RabbitMQ是什么东西?

> 14、讲一下Keepalived的工作原理?

> 15、讲述一下LVS三种模式的工作过程?

> 16、mysql的innodb如何定位锁问题，mysql如何减少主从复制延迟?

> 17、如何重置mysql root密码?

**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**[需要这份系统化的资料的朋友，可以点击这里获取！](https://bbs.csdn.net/topics/618542503)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**
topics/618542503)**

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**