网络拦截的一点笔记--发文于2013-9-16

tdi驱动加载的木马，

winhttp 

URL。dowdlownfile

后面的成熟的数据命令： 无窗口的基本为恶意的，服务的基本为

 恶意的，命令，临时目录下，downloader，new 命令，install命令，

 getdata，固定字符串比如前段时间的kap远控，获取客户端信息，

  更新自身命令（添加，删除）。

wsastupup,bind（自己做服务器，listen监听）,

gethostbyname, 

cmd,up---数据中含有固定的命令，格式。 irc命令。

远控： 网络行为。？？？？-------

shellcode，metasploit，?????

iis版本，apache，tomcat的远程溢出漏洞。?????

常用远控：

1.远程桌面，radmin，vnc，网络人，Mikogo　，QuickIP，向日葵，pcAnywhere，TeamViewer

2.灰鸽子，网络神偷，终结者，远控王，白金远控，gh0st,大白鲨，

1.常规的对端口的打开，gethostbyname，wsastartup系列函数的监控，对于局域网等的远程扫描的欺骗。
2.主要对bind绑定本地端口，后面调用listen的监控，主要适用于本地作为服务端，接受远程的主动连接.
对于远程telnet等获取远程shell的过滤。
未知程序联网，异步
3.对http系列函数的监控，比如木马客户端会连接外网服务器，访问某个url，用于刷流量，增加网站访问量。在指定URL注入伪造的html页面内容。禁用某些URL
4.恶意软件的download行为，对于下载者木马，下载文件释放到temp，application data等目录执行。----》多点
5.对于拦截到的数据部分，主要针对IRC等bot类恶意软件，数据部分主要是命令。比如
  Update，get data，update data，install等命令，用于更新bot客户端，下载文件，获取客户端信息，删除客户端文件,接受IRC服务端的指令执行ddos攻击等。
  这部分数据可由分析组那边提供常用bot的命令格式，字串，作为数据过滤的特征码。
6.对于常用的远控的行为进行过滤，行为如上面所说。 
7.对常用的软件的，比如apache，tomcat，windows系统 （典型的如ms08-067漏洞），IIS软件的漏洞进行提取远程攻击的shellcode，将这些shellcode提取为数据
  部分过滤的特征码。此部分可在metasploit中提取特征码。
数据分析。特征码。简单行为 

关于协议和小端口驱动的区别，寒江独钓 12.5节