技術領域

本發明涉及木馬技術領域，特別是涉及木馬的控制分析技術領域，具體為一種反彈木馬控制端網絡行為功能重建的方法及系統。

背景技術

反彈木馬是駐留在用戶計算機里的一段服務程序，而攻擊者控制的則是相應的客戶端程序。服務程序通過特定的端口，打開用戶計算機的連接資源。一旦攻擊者所掌握的客戶端程序發出請求，反彈木馬便和他連接起來，將用戶的信息竊取出去。

反彈端口型木馬分析了防火墻的特性后發現：防火墻對于連入的鏈接往往會進行非常嚴格的過濾，但是對于連出的鏈接卻疏于防范。于是，與一般的木馬相反，反彈端口型木馬的服務端（被控制端）使用主動端口，客戶端（控制端）使用被動端口，木馬定時監測控制端的存在，發現控制端上線立即彈出端口主動連結控制端打開的主動端口，為了隱蔽起見，控制端的被動端口一般開在80，這樣，即使用戶使用端口掃描軟件檢查自己的端口，發現的也是類似TCP?UserIP:1026ControllerIP:80ESTABLISHED的情況，稍微疏忽一點你就會以為是自己在瀏覽網頁。（防火墻也會這么認為的，我想大概沒有哪個防火墻會不給用戶向外連接80端口吧，嘿嘿）看到這里，有人會問：那服務端怎么能知道控制端的IP地址呢？難道控制端只能使用固定的IP地址？

實際上，這種反彈端口的木馬常常會采用固定IP的第三方存儲設備來進行IP地址的傳遞。舉一個簡單的例子：事先約定好一個個人主頁的空間，在其中放置一個文本文件，木馬每分鐘去GET一次這個文件，如果文件內容為空，就什么都不做，如果有內容就按照文本文件中的數據計算出控制端的IP和端口，反彈一個TCP鏈接回去，這樣每次控制者上線只需要FTP一個INI文件就可以告訴木馬自己的位置，為了保險起見，這個IP地址甚至可以經過一定的加密，除了服務和控制端，其他的人就算拿到了也沒有任何的意義。對于一些能夠分析報文、過濾TCP/UDP的防火墻，反彈端口型木馬同樣有辦法對付，簡單的來說，控制端使用80端口的木馬完全可以真的使用HTTP協議，將傳送的數據包含在HTTP的報文中，難道防火墻真的精明到可以分辨通過HTTP協議傳送的究竟是網頁還是控制命令和數據？一般使用反彈型木馬，比如灰鴿子，你可以先申請一個免費主頁空間，里面建立一個文件，然后配置灰鴿子讀取里面的數據，你每次上線后修改這個文件，讓他指向你的Ip，就可以了。

此外，現有分析反彈木馬技術多采用蜜網蜜罐系統，對于特殊木馬分析有較大風險。因為特殊木馬是由專業技術人員開發、針對特定目標、完成特別用途的一種重要的技術手段，其使用是嚴格限定范圍的，導致蜜網蜜罐系統一方面難以捕獲，另一方面在其它位置捕獲的樣本在蜜網蜜罐系統內無法分析，甚至會自毀樣本。

發明內容

鑒于以上所述現有技術的缺點，本發明的目的在于提供一種反彈木馬控制端網絡行為功能重建的方法及系統，用于解決現有技術中分析反彈木馬程序時分析難度大、風險高的問題。

為實現上述目的及其他相關目的，本發明在一方面提供一種反彈木馬控制端網絡行為功能重建的方法，采用靜態語義分析方法對反彈木馬執行程序進行分析，形成完整的反彈木馬匯編代碼；運行完整的反彈木馬匯編代碼，獲取代碼執行路徑參數，分析和構造所有可能的路徑并在分析過程中獲取反彈木馬執行過程中網絡訪問和網絡函數調用的詳細信息；根據所述網絡訪問和網絡函數調用的詳細信息生成反彈木馬控制端功能程序片段；分別執行各路徑，在執行過程中若需要與控制端進行網絡連接，根據所述反彈木馬控制端功能程序片段模擬反彈木馬控制端響應反彈木馬請求；執行完所有路徑之后，根據模擬的反彈木馬控制端響應反彈木馬請求生成反映反彈木馬控制端網絡行為功能的報告。

優選地，還包括根據所述反彈木馬匯編代碼分析獲取反彈木馬執行程序中的密碼算法和密鑰素材，依據所述密碼算法和所述密鑰素材選擇密鑰交換算法，生成加密密鑰；根據所述生成的加密密鑰、所述網絡訪問和網絡函數調用的詳細信息生成反彈木馬控制端功能程序片段，在模擬反彈木馬控制端響應反彈木馬請求完成加密數據驗證。

優選地，所述靜態語義分析方法為：首選使用遞歸式反匯編算法得到程序匯編代碼，再使用線性掃描算法分析遺留代碼片段，形成完整的反彈木馬匯編代碼。

優選地，靜態語義分析的內容包括根據代碼指令特性、結構特性，還原代碼流程和功能框圖。

優選地，分析所有可能的路徑過程中的操作包括：創建進程快照、約束關系，修改變量以及恢復進程快照，并標記各快照點，記錄各快照點的相關信息；各快照點的相關信息至少包括約束關系、判斷條件、指令內存地址。