能力值:
( LV2,RANK:10 )
2 楼
楼主你好,每个打开的端口都会对应一个进程。
端口--进程,进程同过端口与远程主机进行通信。
我个人观点:
如果你想要隐藏tcp端口是不可能的,只能让进程不去开端口,但是又能实现通信。可以让进程不要用TCP协议进行通信,当然也不用UDP协议。因为netstat命令显示的是使用这俩个协议的端口。我自己知道的一个方法是使用ICMP协议,它是一种差错报告机制,可以用来向目标主机报告或请求各种网络信息(我们常用的PING命令就是用这个协议),使用它来通信就可以不开端口。
我在网上查到的一个方法:
不使用tcp协议,不使用udp,也不使用icmp.这里要用到IP的报头,它的结构你可以上网搜下,或看下TCP/IP详解。
IP报头中有个字段为8位协议,一个字节长,系统就是通过这个字节中的值来区别上层协议是什么,通过这个字节的值来决定应该把数据交给谁来处理。TCP是十进制6,UDP是十进制17。就是说这个值是6的话就交给tcp处理,是17的话就交给udp处理。这种方法就是通过重新构造IP报头,改变协议字段的值来实现(比如255)。实现方法就是原始套接字。已经有人证明了这种方法可行。
有点要注意就是,发送方和接收方必须使用相同的协议号,比如255,那么俩方互相发送数据时,就必须使用相同的协议号255.
知道的就这些了,希望对你有帮助。
能力值:
( LV2,RANK:10 )
3 楼
一个服务对应一个端口,好像是不能隐藏吧,
能力值:
( LV2,RANK:10 )
4 楼
好像PCshare这款远控通过一个SYS文件实现了楼主说的功能,即隐藏端口。
能力值:
( LV2,RANK:10 )
5 楼
呵呵,昨天晚上看了篇文章叫《内核模式下端口隐藏的实现》,想起了你的问题。
主要是通过SSDT Hook挂钩ZwDeviceIoControlFile这个函数来实现端口的隐藏的。其中SSDTD的全称是System Service DescriptorTable,即系统服务描述表。这个表的作用是把ring3的Win32API与ring0的内核API联系起来,因为端口的枚举是通过iphapapi.dll中的ZwDeviceIoControlFile函数来实现。该函数发送一个特定的IRP包来获取端口列表,我们只要Hook掉ZwDeviceIoControlFile这个函数就可以再它返回时动手脚把我们要隐藏的端口给擦掉。文章只给了部分源码,我编译下看能否运行。要能的话,我再发给你!
看看以前我的回答,感觉自己差好多啊,继续努力!
能力值:
( LV2,RANK:10 )
6 楼
比较同意楼上的rootkit方法
似乎也只能这样了
能力值:
( LV3,RANK:30 )
7 楼
第一,不去打开一个端口,比如注入IE,使用已经存在的端口。
第二,隐藏打开的端口。(百度一下,太多了)
能力值:
( LV2,RANK:10 )
8 楼
端口复用对于服务器来说是个好主意,可对于工作站来说却未必哦
工作站并没有太多的固定的Listen端口,很可能找不到目标
另外,把木马注入IE或Explorer只能稍微的隐藏一下进程,可以骗一下菜鸟,却隐藏不了端口
能力值:
( LV2,RANK:10 )
9 楼
这个2005版本有源码可下载
能力值:
( LV2,RANK:10 )
10 楼
以前用过一个后门。
端口复用。
能力值:
( LV2,RANK:10 )
11 楼
端口隐藏的东西,有些木马有的,不过具体也不清楚,这玩意是要做到驱动级才可以做到完美隐藏的。。。。
能力值:
( LV2,RANK:10 )
12 楼
端口隐藏的东西,有些木马有的,不过具体也不清楚,这玩意是要做到驱动级才可以做到完美隐藏的。。。。
能力值:
( LV2,RANK:10 )
13 楼
打开的端口和关闭的端庄口有什么不同,如果试探连接那么隐藏了端口不是谁都可连接。只要知道伪装成关闭应该就可以隐藏了,我们只要判断这是隐藏了的端口不是可以悄悄的连接了?
能力值:
( LV2,RANK:10 )
14 楼
楼主,上次说的内核模式下隐藏端口的源码已经实现了,代码是别人的,我只是编译了一下,可以隐藏XP下端口,但是WIN7的好像不行。
留个联系方式,我把源码发给你,有点大1.7M,这发不上去。
你看看,希望对你有帮助。
能力值:
( LV2,RANK:10 )
15 楼
端口复用。。。。加密数据后发送
能力值:
( LV2,RANK:10 )
16 楼
好像网上那个版本是不完整的
能力值:
( LV2,RANK:10 )
17 楼
异想天开!啊
能力值:
( LV2,RANK:10 )
18 楼
之前做过一点这方面的东西,跟你分享一下。
1,做端口隐藏的话,首先要写一个驱动文件,在驱动层做一下HOOK,你可以在网上搜索一下SSTD的代码,根据你自己的情况稍微改一下,然后在应用程序里写一段自动加载驱动的代码,这部分你可以参考一下Windows 驱动开发详解这本书。
2,你也可以试试端口复用,复用到80等常用端口,这个我没做过,不过像之前楼上的说过,百度一下,这方面资料一大堆。
能力值:
( LV8,RANK:120 )
19 楼
代码在这
关键处改下就行了
吧分给我把
上传的附件:
能力值:
( LV2,RANK:10 )
20 楼
麻烦发我一份,agdjsjxy@163.com,谢谢了~
能力值:
( LV2,RANK:10 )
21 楼
直接用注册表开啊
能力值:
( LV2,RANK:10 )
22 楼
这方案,不错,学习了
能力值:
( LV2,RANK:10 )
23 楼
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,
在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,
于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,
则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。
第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,
随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,
然后再点击右边的“添加”按钮添加新的筛选器。
第三步,进入“筛选器属性”对话框,首先看到的是“地址”,源地址选“任何 IP 地址”(如果“源地址”选择“一个特定的IP或子网”,
其他的设置相同就可屏蔽某个IP),目标地址选“任何 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,
然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,
它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,
重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
建立好上述端口的筛选器,最后点击“确定”按钮。
第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。
在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,
选择“阻止”,然后点击“确定”按钮。
第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;
最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,
用鼠标右击新添加的 IP 安全策略,然后选择“分配”。
重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑
如果你安装了防火墙只需将某个IP加入“屏蔽列表”就行了。
能力值:
( LV2,RANK:10 )
24 楼
楼上的是屏蔽端口吧,lz的意思隐藏端口,让命令行看不到,不能遍历出来,但是依然能继续使用~
能力值:
( LV2,RANK:10 )
25 楼
楼上的几种方法听起来好像都还不错!关键哪种解决方案比较完美?