[发明专利]反弹木马控制端网络行为功能重建的方法及系统

说明书

技术领域

本发明涉及木马技术领域，特别是涉及木马的控制分析技术领域，具体为一种反弹木马控制端网络行为功能重建的方法及系统。

背景技术

反弹木马是驻留在用户计算机里的一段服务程序，而攻击者控制的则是相应的客户端程序。服务程序通过特定的端口，打开用户计算机的连接资源。一旦攻击者所掌握的客户端程序发出请求，反弹木马便和他连接起来，将用户的信息窃取出去。

反弹端口型木马分析了防火墙的特性后发现：防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端（被控制端）使用主动端口，客户端（控制端）使用被动端口，木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口，为了隐蔽起见，控制端的被动端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似TCP UserIP:1026ControllerIP:80ESTABLISHED的情况，稍微疏忽一点你就会以为是自己在浏览网页。（防火墙也会这么认为的，我想大概没有哪个防火墙会不给用户向外连接80端口吧，嘿嘿）看到这里，有人会问：那服务端怎么能知道控制端的IP地址呢？难道控制端只能使用固定的IP地址？

实际上，这种反弹端口的木马常常会采用固定IP的第三方存储设备来进行IP地址的传递。举一个简单的例子：事先约定好一个个人主页的空间，在其中放置一个文本文件，木马每分钟去GET一次这个文件，如果文件内容为空，就什么都不做，如果有内容就按照文本文件中的数据计算出控制端的IP和端口，反弹一个TCP链接回去，这样每次控制者上线只需要FTP一个INI文件就可以告诉木马自己的位置，为了保险起见，这个IP地址甚至可以经过一定的加密，除了服务和控制端，其他的人就算拿到了也没有任何的意义。对于一些能够分析报文、过滤TCP/UDP的防火墙，反弹端口型木马同样有办法对付，简单的来说，控制端使用80端口的木马完全可以真的使用HTTP协议，将传送的数据包含在HTTP的报文中，难道防火墙真的精明到可以分辨通过HTTP协议传送的究竟是网页还是控制命令和数据？一般使用反弹型木马，比如灰鸽子，你可以先申请一个免费主页空间，里面建立一个文件，然后配置灰鸽子读取里面的数据，你每次上线后修改这个文件，让他指向你的Ip，就可以了。

此外，现有分析反弹木马技术多采用蜜网蜜罐系统，对于特殊木马分析有较大风险。因为特殊木马是由专业技术人员开发、针对特定目标、完成特别用途的一种重要的技术手段，其使用是严格限定范围的，导致蜜网蜜罐系统一方面难以捕获，另一方面在其它位置捕获的样本在蜜网蜜罐系统内无法分析，甚至会自毁样本。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种反弹木马控制端网络行为功能重建的方法及系统，用于解决现有技术中分析反弹木马程序时分析难度大、风险高的问题。

为实现上述目的及其他相关目的，本发明在一方面提供一种反弹木马控制端网络行为功能重建的方法，采用静态语义分析方法对反弹木马执行程序进行分析，形成完整的反弹木马汇编代码；运行完整的反弹木马汇编代码，获取代码执行路径参数，分析和构造所有可能的路径并在分析过程中获取反弹木马执行过程中网络访问和网络函数调用的详细信息；根据所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段；分别执行各路径，在执行过程中若需要与控制端进行网络连接，根据所述反弹木马控制端功能程序片段模拟反弹木马控制端响应反弹木马请求；执行完所有路径之后，根据模拟的反弹木马控制端响应反弹木马请求生成反映反弹木马控制端网络行为功能的报告。

优选地，还包括根据所述反弹木马汇编代码分析获取反弹木马执行程序中的密码算法和密钥素材，依据所述密码算法和所述密钥素材选择密钥交换算法，生成加密密钥；根据所述生成的加密密钥、所述网络访问和网络函数调用的详细信息生成反弹木马控制端功能程序片段，在模拟反弹木马控制端响应反弹木马请求完成加密数据验证。

优选地，所述静态语义分析方法为：首选使用递归式反汇编算法得到程序汇编代码，再使用线性扫描算法分析遗留代码片段，形成完整的反弹木马汇编代码。

优选地，静态语义分析的内容包括根据代码指令特性、结构特性，还原代码流程和功能框图。

优选地，分析所有可能的路径过程中的操作包括：创建进程快照、约束关系，修改变量以及恢复进程快照，并标记各快照点，记录各快照点的相关信息；各快照点的相关信息至少包括约束关系、判断条件、指令内存地址。