网络攻防学习笔记 Day48

配置木马是黑客通过远程控制型木马进行入侵的第一步。黑客在散播木马之前必须进行配置木马的工作。配置木马阶段黑客将定制木马并设置信息反馈方式。定制木马的核心工作是定制端口。

冰河是国内黑客所开发的一款功能强大、操作灵活的远程控制型木马，曾经创造了黑客使用量最大、计算机感染数量最多的奇迹。冰河属于远程控制型木马。

在黑客根据自己的需求配置好木马的服务器端程序以后，下一步的工作就是将所配置的木马程序传播出来，让尽可能多的计算机用户感染木马，这就是木马植入技术。木马植入技术分为主动植入与被动植入两类。

木马所感染的主机使用内网 IP 地址或者动态 IP 地址时，黑客都难以对这些主机实施有效的远程控制。为了解决这一问题，黑客一般采用反向连接（reverse connection）技术，也被称为反弹技术。

黑客为了保证木马的隐蔽性，格外重视木马在运行阶段的隐藏。木马在运行阶段的隐藏大致可以分为进程隐藏和通信隐藏两部分。

木马比较常用的一种方法是采用一些数字取代与这些数字在形状上相似的字母。

采用动态链接方式，在使用链接程序进行链接时，函数库中的函数并没有链接到应用程序的可执行文件中。链接是在程序运行时动态进行的。动态链接所使用的库文件就是 DLL。

木马更为高级的进程隐藏方法是采用远程线程技术。在操作系统中，进程和线程是两个重要概念。进程是程序代码的执行实例。程序代码在被执行时，系统为其创建进程。线程是程序的实际执行单元。一个进程中可以包含多个线程，这些线程共享进程的内存空间及权限等资源。

端口复用技术也是一种常见的木马通信隐藏技术。网络通信中端口被用来标识参与通信的进程实体。当系统收到一个数据包时，会根据数据包的目的端口找到对应的应用进程并转交数据包。