火绒安全软件

安全技术探讨
发新帖
打印 上一主题 下一主题

[话题探讨] 现在的免杀远控越来越猖獗了,是不是应该有个通杀的拦截

[复制链接]
15826 31
楼主
发表于 2021-2-24 20:43:07 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
我觉得远控木马无论免杀做的再好,都有一个缺点,木马要连接软件端,必然走网络。那么直接拦截这个远控的端口就好了吗。

比如我直接一直手动找木马的思路就是:

cmd 运行:netstat -ano  查看网络连接。    tasklist /svc查看进程 带PID值。然后对应找出  可疑的端口 (那肯定就是木马的了 233)

我觉得实现起来应该不会很难   就看这个规则怎么写了。不管你任何木马,免杀有什么用?照样给你揪出来。(我不相信有 那种不需要网络就能控制的木马。)

来大神看看,怎么写一个规则把。我就是提个想法。
回复

使用道具 举报

15826 31
沙发
发表于 2021-2-25 14:18:21 | 只看该作者
谁知道哪个端口是远控呢
回复

使用道具 举报

15826 31
板凳
发表于 2021-2-25 15:38:01 | 只看该作者
huolongguo10 发表于 2021-2-25 14:18
谁知道哪个端口是远控呢

这个就看规则怎么判断了。我记得远控木马都是 ESTABLISHED 状态的。
回复

使用道具 举报

15826 31
地板
发表于 2021-2-25 16:04:27 | 只看该作者
username1 发表于 2021-2-25 15:38
这个就看规则怎么判断了。我记得远控木马都是 ESTABLISHED 状态的。

正常软件也是这个状态,,,可以靠远程服务器来判断
回复

使用道具 举报

15826 31
5#
发表于 2021-2-25 17:38:25 | 只看该作者
来个大佬,写一下吧。即使他木马再免杀又如何,分分钟给他规则掉。
回复

使用道具 举报

15826 31
6#
发表于 2021-2-26 11:30:20 | 只看该作者
username1 发表于 2021-2-25 17:38
来个大佬,写一下吧。即使他木马再免杀又如何,分分钟给他规则掉。

几乎不可能,端口都是随机的,报文还是加密的。。。
回复

使用道具 举报

15826 31
7#
发表于 2021-2-26 15:46:02 | 只看该作者
huolongguo10 发表于 2021-2-26 11:30
几乎不可能,端口都是随机的,报文还是加密的。。。

首先就是端口,一般远控默认使用的都是8000  或者以年份来设置的,比如2012  2019 ,然后我感觉真的不必探测端口流量的内容,直接就是写个规则,判断这个端口进程是不是很可疑的。反正我感觉可行。
回复

使用道具 举报

15826 31
8#
发表于 2021-2-26 16:29:56 | 只看该作者
8000也是http端口,有人用52,有人用4444,还有人用9090,至于我,随机选端口
回复

使用道具 举报

15826 31
9#
发表于 2021-2-26 17:37:52 | 只看该作者
huolongguo10 发表于 2021-2-26 16:29
8000也是http端口,有人用52,有人用4444,还有人用9090,至于我,随机选端口

怎么就你一个人回复我。。。
回复

使用道具 举报

15826 31
10#
发表于 2021-2-26 20:57:31 | 只看该作者
这玩意还是比较专业的,我没有研究过网络这方面,像我不了解的是不会接话茬的,并且自我感觉论坛的活跃用户不多。
回复

使用道具 举报

15826 31
11#
发表于 2021-2-27 07:52:21 | 只看该作者
先写个批处理脚本,压压惊
@echo off
netstat -ano > 端口.txt
tasklist /svc > 进程.txt
回复

使用道具 举报

15826 31
12#
发表于 2021-2-27 15:19:35 | 只看该作者
哪有完美的,你认为这个端口疑似远控,还不是得靠猜,而一般杀软为了解决误报的问题,也不敢随便乱猜
回复

使用道具 举报

15826 31
13#
发表于 2021-2-27 15:41:46 | 只看该作者
username1 发表于 2021-2-27 07:52
先写个批处理脚本,压压惊
@echo off
netstat -ano > 端口.txt

有个人叫echo

点评

确实。。。  发表于 2022-9-27 20:24
回复

使用道具 举报

15826 31
14#
发表于 2021-2-28 08:06:01 | 只看该作者
不是去猜,是通过一定严谨的逻辑判断 if else 各种规则去过滤去筛选,我这个思路可行的,真的,就看那个大佬来写一下了

点评

编程太少了,if,else功能有限,再说它不允许回车,不太可能  发表于 2021-4-1 21:31
回复

使用道具 举报

15826 31
15#
发表于 2021-9-10 23:36:19 | 只看该作者
意义何在呢?只要监控软件行为就好了,远控就是监控屏幕,监控文件,或者挖矿之类的危险行为,只要防住了这些行为,就行了
回复

使用道具 举报

您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

快速回复 返回顶部 返回列表