查出反向木马的反向连接域名

　　监听NOTEBOOK向默认域名服务器（202.96.209.6）的域名查询请求（图3）：

　　图3
 

　　PC机命令行输入：windump –vvnXi2 src 192.168.1.2 and dst 202.96.209.6 命令中vv表示更详细的显示输出，n表示用数字表示服务端口和用IP表示已知域名的IP，src 192.168.1.2 and dst 202.96.209.6 表示只监听来自192.168.1.2并且目标是202.96.209.6的数据包，当然可以根据需要随机应变。

　　监听NOTEBOOK接受到默认域名服务器（202.96.209.6）的域名查询响应（图4）：

　　图4
 

　　从以上监听数据来看，灰鸽子服务的启动过程中只向域名服务器查询了ns1.3322.net的IP地址，并且域名服务器返回的结果告诉我 ns1.3322.net的IP地址是61.177.95.125，查询类型为A，即最普通的域名到IP的查询。当然ns1.3322.net绝不可能是那个反向连接域名，因为这是希网动态域名解析的主DNS服务器。灰鸽子居然向我的默认DNS服务器查询另外一个DNS服务器的IP，或许是使用别的域名服务器，为了掩人耳目？我停止了PC机上的监听，准备改成监听ns1.3322.net和NOTEBOOK之间的数据，果然不出所料，得到以下结果。

　　监听NOTEBOOK向域名服务器ns1.3322.net的域名查询请求（图5）：

　　图5
 

　　监听NOTEBOOK收到域名服务器ns1.3322.net的域名查询响应（图6）：

　　图6

　　从给ns1.3322.net的域名查询请求中可以看到，中了灰鸽子的NOTEBOOK向ns1.3322.net发送了一个查询域名 65200.huigezi.org的请求，查询类型为MX，即邮件交换记录，也就是发向邮件地址someone@65200.huigezi.org 的邮件将会到达的的主机的地址（注意这里的MX记录正好是和原来的域名一样，其实完全可以不一样的，若MX记录为163.com，那么这封邮件就发送到 163.com这台主机去了）。至此已经可以清晰的看出这个灰鸽子的反向域名为65200.huigezi.org，我ping了一下，发现这与我刚开机时ICESWORD里看到的IEXPLORER进程连接某IP的8000端口的那个IP相同，可以确定结果完全正确。反向域名成功获得。不过这里出现一个技术疑问，nslookup后发现huigezi.org的域名服务器为ns1.3322.net，但是为何会直接向ns1.3322.net服务器查询呢？应该是我设置的域名服务器去问ns1.3322.net，然后告诉我查询结果，并且缓存查询结果，我对于这个过程是一无所知的，就像我的域名服务器原来就知道答案一样，我猜测是木马的自我保护方式，各位有更好的解释的话指点我下，谢谢了。得到域名后接下来可以做的事很多，我也不一一例举了（其实是域名劫持的综合技术要求很高，我没那水准…），不过假如你实在是很气愤的话，比如对方删了你硬盘重要文件等等，我可以告诉你，110找网警…

　　在整个监听过程中遇到过许多麻烦，比如NOTEBOOK上有其他程序访问网络，导致PC机上的终端输出狂闪不止，根本没法看，保存在文件里的话，也找得头晕，重启系统无数次等等…我始终相信技术是可以灵活使用的，创新的思路尤其重要，可能会有很意想不到的结果，无论是成功或者失败，去尝试一下总会获得一些经验，学到一点东西（在此稍点一下，名叫LOVEBOOM[DFCG][FCG][CUG]的家伙反编译了灰鸽子的客户端找出了灰鸽子的配置信息，当然包括反向连接域名，技术厉害哦，呵呵，不过遇到一个木马就反编译一个那就-_-，说笑的，偶很佩服他）。通过监听与域名服务器的通讯的方式从原理上来说对于一切木马都有效，所以我不太使用反向连接的木马，很早以前就觉得不安全。大家有技术上的问题可以和我一起学习探讨。

　　花絮：我的灰鸽子是BT下载死神漫画的时候机缘巧合中的，看到bleach000.exe，一个JPG图像的图标（我把系统中的显示已知文件名的后缀选项去掉的），来不及了，我太喜欢黑崎一户了，手快了…

上一页  [1] [2]