透视木马程序开发技术（中）

核心提示： TCPLiumy:2105 Liumy:0LISTENINGTCPLiumy:2107 Liumy:0LISTENINGUDPLiumy:echo *:*UDPLiumy:discard*:*UDPLiumy:daytime*:*UDPLiumy:qotd *:*UDPLiumy:char

TCP　　Liumy:2105　　　　　　 Liumy:0　　　　　　　　LISTENING

TCP　　Liumy:2107　　　　　　 Liumy:0　　　　　　　　LISTENING

UDP　　Liumy:echo　　　　　　 *:*

UDP　　Liumy:discard　　　　　*:*

UDP　　Liumy:daytime　　　　　*:*

UDP　　Liumy:qotd　　　　　　 *:*

UDP　　Liumy:chargen　　　　　*:*

UDP　　Liumy:epmap　　　　　　*:*

UDP　　Liumy:snmp　　　　　　 *:*

UDP　　Liumy:microsoft-ds　　 *:*

UDP　　Liumy:1027　　　　　　 *:*

UDP　　Liumy:1029　　　　　　 *:*

UDP　　Liumy:3527　　　　　　 *:*

UDP　　Liumy:4000　　　　　　 *:*

UDP　　Liumy:4001　　　　　　 *:*

UDP　　Liumy:1033　　　　　　 *:*

UDP　　Liumy:1148　　　　　　 *:*

UDP　　Liumy:netbios-ns　　　 *:*

UDP　　Liumy:netbios-dgm　　　*:*

UDP　　Liumy:isakmp　　　　　 *:*

但是，黑客还是用种种手段躲避了这种侦察，就我所知的方法大概有两种，一种是合并端口法，也就是说，使用特殊的手段，在一个端口上同时绑定两个TCP或者UDP连接，这听起来不可思议，但事实上确实如此，而且已经出现了使用类似方法的程序，通过把自己的木马端口绑定于特定的服务端口之上，（比如80端口的HTTP，谁怀疑他会是木马程序呢？）从而达到隐藏端口的目地。另外一种办法，是使用ICMP（Internet Control Message Protocol）协议进行数据的发送,原理是修改ICMP头的构造，加入木马的控制字段，这样的木马，具备很多新的特点，不占用端口的特点，使用户难以发觉，同时，使用ICMP可以穿透一些防火墙，从而增加了防范的难度。之所以具有这种特点，是因为ICMP不同于TCP，UDP，ICMP工作于网络的应用层不使用TCP协议。关于网络层次的结构，下面给出图示：