现在的免杀远控越来越猖獗了，是不是应该有个通杀的拦截

username1

我觉得远控木马无论免杀做的再好，都有一个缺点，木马要连接软件端，必然走网络。那么直接拦截这个远控的端口就好了吗。

比如我直接一直手动找木马的思路就是：

cmd 运行:netstat -ano  查看网络连接。    tasklist /svc查看进程 带PID值。然后对应找出  可疑的端口 （那肯定就是木马的了 233）

我觉得实现起来应该不会很难   就看这个规则怎么写了。不管你任何木马，免杀有什么用？照样给你揪出来。（我不相信有 那种不需要网络就能控制的木马。）

来大神看看，怎么写一个规则把。我就是提个想法。

huolongguo10

谁知道哪个端口是远控呢

username1

huolongguo10 发表于 2021-2-25 14:18
谁知道哪个端口是远控呢

这个就看规则怎么判断了。我记得远控木马都是 ESTABLISHED 状态的。

huolongguo10

username1 发表于 2021-2-25 15:38
这个就看规则怎么判断了。我记得远控木马都是 ESTABLISHED 状态的。

正常软件也是这个状态，，，可以靠远程服务器来判断

username1

来个大佬，写一下吧。即使他木马再免杀又如何，分分钟给他规则掉。

huolongguo10

username1 发表于 2021-2-25 17:38
来个大佬，写一下吧。即使他木马再免杀又如何，分分钟给他规则掉。

几乎不可能，端口都是随机的，报文还是加密的。。。

username1

huolongguo10 发表于 2021-2-26 11:30
几乎不可能，端口都是随机的，报文还是加密的。。。

首先就是端口，一般远控默认使用的都是8000  或者以年份来设置的，比如2012  2019 ，然后我感觉真的不必探测端口流量的内容，直接就是写个规则，判断这个端口进程是不是很可疑的。反正我感觉可行。

huolongguo10

8000也是http端口，有人用52，有人用4444，还有人用9090，至于我，随机选端口

username1

huolongguo10 发表于 2021-2-26 16:29
8000也是http端口，有人用52，有人用4444，还有人用9090，至于我，随机选端口

怎么就你一个人回复我。。。

wing-summer

这玩意还是比较专业的，我没有研究过网络这方面，像我不了解的是不会接话茬的，并且自我感觉论坛的活跃用户不多。

username1

先写个批处理脚本，压压惊
@echo off
netstat -ano > 端口.txt
tasklist /svc > 进程.txt

www.

哪有完美的，你认为这个端口疑似远控，还不是得靠猜，而一般杀软为了解决误报的问题，也不敢随便乱猜

huolongguo10

username1 发表于 2021-2-27 07:52
先写个批处理脚本，压压惊
@echo off
netstat -ano > 端口.txt

有个人叫echo

username1

不是去猜，是通过一定严谨的逻辑判断 if else 各种规则去过滤去筛选，我这个思路可行的，真的，就看那个大佬来写一下了

云在天

意义何在呢？只要监控软件行为就好了，远控就是监控屏幕，监控文件，或者挖矿之类的危险行为，只要防住了这些行为，就行了