木马连接技术初探（原创）
fooying(H.U.C)
个人blog：http://hi.baidu.com/fooying
QQ413673800

  木马可以算使一种特殊的远程控制软件，需要基于网络才能实现，而远程控制技术，始于DOS时代，只是出于种种原因而没有引起人们的重视。而随着网络的不断改进，该技术越来越受到重视，越来越普及，于是防范木马成了安全中不可少的课题，各种层出不穷的方法来防范。而木马作者为了木马的生存，也不断改进，连接技术就是木马技术中必不可少的。今天就和大家来初步探索下。
  1、主动连接
这种连接方式的木马以冰河为代表。冰河是一款功能强大的远程控制木马，基于TCP/IP，可以基本黑客都认识。这种木马的连接技术就是主动连接，即服务端在运行后监听指定端口，而在连接时，客户端会主动发送连接命令给服务端进行连接。这种方法有个很大的弊处，那就是在连接的时可以轻易的被防火墙所拦截。如图。



2、反弹连接
  在“冰河”木马停止开发后，后来出现了一款大名鼎鼎的木马－灰鸽子。相必没有人不认识吧？其连接方式就有采用反弹连接。
  防火墙能阻止外部连接，但是却阻挡不了内部向外连接。反弹连接即使利用这原理。反弹连接分为FTP反弹连接和域名反弹连接。目前仍是木马连接的主流技术之一。
FTP反弹连接原理如图。客户端首先登陆FTP空间，在相关网页上写入客户端电脑目前IP及开放端口。而服务端会定时读取FTP空间网页内容，当发现客户端信息就会主动连接远程服务端。




域名反弹连接技术可能是平常在配置木马中最常遇见的，我们用希网等动态域名作为连接地址，其实就是采用域名反弹连接方式。原理同FTP反弹连接类似。首先我们更新域名信息，服务端通过域名读取客户端信息，然后主动连接客户端。




采用反弹连接也有个缺点，它只能访问拨号上网和NAT代理上网的服务端。
3、HTTP隧道技术
  使用HTTP隧道技术可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。其代表木马有红狼（Gh0st RAT）。
  简单的说，HTTP隧道技术就是将传送的数据封装在HTTP协议里进行传送。因此可以访问到局域网里通过HTTP、SOCKS4/5代理上网的服务端。其几乎支持所有上网方式。这种连接方式同样可以避免防火墙及用户的发现，会被误以为是正常的使用浏览器上网。
4、其他连接方式
  冰河、灰鸽子、红狼都属于C/S型木马，而这里不得不介绍下B/S型木马。
  C/S型木马就是通过客户端（Client）对服务端（Server）进行控制操作；而B/S型木马就是通过浏览器（Browser）对服务端（Server）进行控制操作。
  最早的B/S型木马是1998年第七届"DEF CON“黑客大会，由”死牛崇拜（CDC）“组织拿出的BO2000.国内也有个网络精灵，其实是把BO2000进行汉化精简后重新用VC++进行编译封装。
  还有些其他的不常见或不常用木马连接技术这里就不多加介绍，大家有兴趣的可以去查资料。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)