[发明专利]面向网络攻击与防护的无端口隐蔽通信方法

权利要求书

1.面向网络攻击与防护的无端口隐蔽通信方法，其特征在于提出了一种新的隐蔽通信机制，并对该通信机制的关键技术进行了重点阐述，基于该机制，实现了一个无端口木马，给出了无端口木马的框架结构。

2.如权利要求1所述的面向网络攻击与防护的无端口隐蔽通信方法，其特征在于，控制代理(即所设计的无端口木马)运行后，并不直接参与通信，而是将控制代理线程(主要包含负责和控制端通信的代码)注入到其它正常进程(宿主进程)中后销毁自身，宿主进程中的控制代理线程不打开任何端口，也不创建任何新的socket，而是在宿主进程中搜索已创建的socket，如果与该socket(TCP类型的)连接的对方端口是约定端口(如8888)或者接受到约定数据后，可判定对方是可信任的控制端，并根据该连接或数据包获取控制端的地址信息，控制代理线程的通信代码开始工作，利用这个socket和获取到的控制端的地址信息与控制端进行通信。

因此，使用这种方式，在通信过程中不会有任何新的端口产生，也没有任何新的socket被创建，隐蔽性非常高；同时控制代理线程工作在被用户和防火墙信任的宿主进程中，达到了进程隐藏目的，更不易被发现。

3.如权利要求1所述的面向网络攻击与防护的无端口隐蔽通信方法，实现了一个无端口木马，给出了无端口木马的框架结构，其特征在于，利用无端口隐蔽通信技术，根据使用socket的类型，认证方式以及完成的功能等可以设计出多种的无端口木马，木马端完成的功能：通过控制代理获取被控制端机器的口令文件，windows系统一般是不允许进程访问口令文件SAM的，但是windows常常会将SAM的备份文件放在％windowsroot％\repair目录下，而这个文件是可以自由访问的，我们就以这个文件为例，将其传输出来；

socket类型：TCP类型，以保证传送文件的可靠性，

认证方式：约定端口认证，这种方式简便易行，虽然安全性较差，但是这个无端口木马只用于测试，对安全性要求不高，在实际使用中，可以使用安全性更强的的认证方式。

设计细节：使用无端口隐蔽通信技术，将负责和控制端通信的代码注入到开放TCP端口的进程(宿主进程)中，在宿主进程中搜索已建立的TCP连接，如果对方端口是约定端口8888，则打开备份在％windowsroot％\repair下的口令文件，使用这个已建立起来的TCP连接将文件内容传送给控制端；

控制端完成的功能即向被控制端的一个TCP端口发起连接，然后等待代理线程将SAM文件内容传输过来，并将其保存到一个本地文件中。