实验二木马分析(控制分析)实验
1、伪装木马
木马的伪装方式主要有以下6种。
修改图标
现在,已经有木马服务端程序的图标改成HTML、TXT、ZIP等文件的图标,这具有相当大的迷惑性。
捆绑文件
这种伪装手段是将木马捆绑到一个安装程序上,当安装程序运行时,木马在用户毫无察觉的情况下,偷偷地入驻系统。至于被捆的文件,一般是可执行文件(即EXE、COM一类的文件)。
出错显示
当服务端用户打开木马程序时,为了迷惑用户,木马程序会弹出一个错误提示框。错误内容大多会定制成诸如“文件已破坏,无法打开!”之类的信息,如果服务端用户信以为真,木马会悄悄入驻系统。
定制端口
很多老式木马的端口都是固定的,这给判断是否感染了木马带来了方便,只要查一下特定的端口就知道感染了什么木马,所以现在很多新式木马都加入了定制端口的功能,控制端用户可以在1024-65535之间任选一个端口作为木马端口(一般不选1024以下的端口),这样就给判断木马的类型带来了麻烦。
自我销毁
木马的自我销毁功能是指安装完木马后,原木马文件将自动销毁。这样服务端用户就很难找到木马的来源,在没有查杀木马工具的帮助下很难删除木马。
木马更名
现在有很多木马都允许控制端用户自由定制安装后的木马文件名,这样很难根据文件名来判断所感染的木马类型。
2、感染过程嗅探分析
过程中我们使用的是两个虚拟机,win7作为控制机ip:192.168.19.131;windows xp 系统作为感染机ip:192.168.159.132.在感染中我捕获的报文利用(ip.src==192.168.159.131&&ip.dst==192.168.159.132)||(ip.dst==192.168.159.132 &&ip.src==192.168.159.131)筛选两台主机之间的通信。
我们能够看到,感染主机(131)向控制主机(132)发送报文,他们是通过tcp三次握手方式建立连接。我们也是可以看到会两台主机之间的通信会不断的增加(从xp不同时间段截获的报文可以看到),会不断发送TCP keep-Alive来保持两台机器的联系。
Windows7中截获的报文