如何通过科来分析网内哪些机器中木马的方法

liong · 发表于 2008-10-23 17:39:13

个人近期一直在琢磨如何通过科来分析网内哪些机器中木马的方法，通过在一台内网机器上的实验发现机器中了像灰鸽子一类的木马后会不停的链接木马控制端，建立链接后会一直保持链接，也就是通常开机即建立链接关机才结束并且不停发包维持链接。不过通过链接持续时间和链接特点分析木马在主机对外通信量大的情况尤其是开了QQ的情况下比较困难。

所以我觉得设置有效的过滤器滤掉正常数据的方式更有效和精确，但是如何设置很好有针对性的木马过滤器规则我还没想好，不知道这里有没有研究过木马和病毒通信的大虾，讲讲你们的经验。

oldjiang · 发表于 2008-10-23 19:18:41

木马那么多，不能一网打尽吧
科来有QQ协议，可以过滤

只是一个神话 · 发表于 2008-10-24 08:25:26

从端口入手，如果某台机器的某个非常用端口一直在和外网的某个固定IP通信，那这台机器就有一定的可疑性。要设置过滤器的话可以把常用的端口都过滤掉。

oldjiang · 发表于 2008-10-24 08:35:32

外网的某个固定IP，有见地
如果从内网发起连接，那端口一般都是非常用的

liong · 发表于 2008-10-24 09:32:55

是的，现在流行木马生成客户端时都可以自定义端口了，使用80端口还比较常见，不知如何从茫茫包海中滤除有问题的

oldjiang · 发表于 2008-10-24 09:37:36

3#的意思应该是：内网主机：随机端口<--->某个固定的外网主机：某个固定的非常用端口

qgujb447 · 发表于 2009-11-20 17:55:03

顶一下。。。。。。。。。。。。。。。。。

如何通过科来分析网内哪些机器中木马的方法

回复 5# 的帖子

浏览过的版块