首页
社区
课程
招聘
[旧帖] 如何隐藏开启的TCP端口号 0.00雪花
发表于: 2010-11-23 23:29 25157

[旧帖] 如何隐藏开启的TCP端口号 0.00雪花

2010-11-23 23:29
25157
如题:
就是我在pc上开启了一个新的端口号,但是想用netstat -an命令看不到该端口号
但是实际是可以跟这个端口号进行正常连接的
不知哪位DX能够指点明灯

先谢

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (24)
雪    币: 31
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
楼主你好,每个打开的端口都会对应一个进程。
端口--进程,进程同过端口与远程主机进行通信。

我个人观点:
如果你想要隐藏tcp端口是不可能的,只能让进程不去开端口,但是又能实现通信。可以让进程不要用TCP协议进行通信,当然也不用UDP协议。因为netstat命令显示的是使用这俩个协议的端口。我自己知道的一个方法是使用ICMP协议,它是一种差错报告机制,可以用来向目标主机报告或请求各种网络信息(我们常用的PING命令就是用这个协议),使用它来通信就可以不开端口。

我在网上查到的一个方法:
不使用tcp协议,不使用udp,也不使用icmp.这里要用到IP的报头,它的结构你可以上网搜下,或看下TCP/IP详解。
IP报头中有个字段为8位协议,一个字节长,系统就是通过这个字节中的值来区别上层协议是什么,通过这个字节的值来决定应该把数据交给谁来处理。TCP是十进制6,UDP是十进制17。就是说这个值是6的话就交给tcp处理,是17的话就交给udp处理。这种方法就是通过重新构造IP报头,改变协议字段的值来实现(比如255)。实现方法就是原始套接字。已经有人证明了这种方法可行。

有点要注意就是,发送方和接收方必须使用相同的协议号,比如255,那么俩方互相发送数据时,就必须使用相同的协议号255.

知道的就这些了,希望对你有帮助。
2010-11-24 15:39
1
雪    币: 30
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
一个服务对应一个端口,好像是不能隐藏吧,
2010-11-24 16:02
0
雪    币: 49
活跃值: (29)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
好像PCshare这款远控通过一个SYS文件实现了楼主说的功能,即隐藏端口。
2010-11-25 16:57
0
雪    币: 31
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
呵呵,昨天晚上看了篇文章叫《内核模式下端口隐藏的实现》,想起了你的问题。
主要是通过SSDT Hook挂钩ZwDeviceIoControlFile这个函数来实现端口的隐藏的。其中SSDTD的全称是System Service DescriptorTable,即系统服务描述表。这个表的作用是把ring3的Win32API与ring0的内核API联系起来,因为端口的枚举是通过iphapapi.dll中的ZwDeviceIoControlFile函数来实现。该函数发送一个特定的IRP包来获取端口列表,我们只要Hook掉ZwDeviceIoControlFile这个函数就可以再它返回时动手脚把我们要隐藏的端口给擦掉。文章只给了部分源码,我编译下看能否运行。要能的话,我再发给你!
看看以前我的回答,感觉自己差好多啊,继续努力!
2011-3-6 11:15
0
雪    币: 1240
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
比较同意楼上的rootkit方法
似乎也只能这样了
2011-3-6 11:44
0
雪    币: 1787
活跃值: (340)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
7
第一,不去打开一个端口,比如注入IE,使用已经存在的端口。
第二,隐藏打开的端口。(百度一下,太多了)
2011-3-6 11:51
0
雪    币: 1240
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
端口复用对于服务器来说是个好主意,可对于工作站来说却未必哦
工作站并没有太多的固定的Listen端口,很可能找不到目标

另外,把木马注入IE或Explorer只能稍微的隐藏一下进程,可以骗一下菜鸟,却隐藏不了端口
2011-3-6 12:13
0
雪    币: 23
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
这个2005版本有源码可下载
2011-3-6 12:23
0
雪    币: 2882
活跃值: (1279)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
yjd
10
以前用过一个后门。
端口复用。
2011-3-7 09:27
0
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
端口隐藏的东西,有些木马有的,不过具体也不清楚,这玩意是要做到驱动级才可以做到完美隐藏的。。。。
2011-3-7 11:23
0
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
端口隐藏的东西,有些木马有的,不过具体也不清楚,这玩意是要做到驱动级才可以做到完美隐藏的。。。。
2011-3-7 11:24
0
雪    币: 40
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
打开的端口和关闭的端庄口有什么不同,如果试探连接那么隐藏了端口不是谁都可连接。只要知道伪装成关闭应该就可以隐藏了,我们只要判断这是隐藏了的端口不是可以悄悄的连接了?
2011-3-7 12:49
0
雪    币: 31
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
楼主,上次说的内核模式下隐藏端口的源码已经实现了,代码是别人的,我只是编译了一下,可以隐藏XP下端口,但是WIN7的好像不行。
留个联系方式,我把源码发给你,有点大1.7M,这发不上去。
你看看,希望对你有帮助。
2011-3-15 21:53
0
雪    币: 21
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
端口复用。。。。加密数据后发送
2011-3-16 19:57
0
雪    币: 21
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
好像网上那个版本是不完整的
2011-3-16 20:00
0
雪    币: 16
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
异想天开!啊
2011-3-17 01:02
0
雪    币: 59
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
之前做过一点这方面的东西,跟你分享一下。
1,做端口隐藏的话,首先要写一个驱动文件,在驱动层做一下HOOK,你可以在网上搜索一下SSTD的代码,根据你自己的情况稍微改一下,然后在应用程序里写一段自动加载驱动的代码,这部分你可以参考一下Windows 驱动开发详解这本书。
2,你也可以试试端口复用,复用到80等常用端口,这个我没做过,不过像之前楼上的说过,百度一下,这方面资料一大堆。
2011-3-17 08:10
0
雪    币: 232
活跃值: (105)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
19
代码在这
关键处改下就行了
吧分给我把
上传的附件:
2011-3-18 10:22
1
雪    币: 8
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
麻烦发我一份,agdjsjxy@163.com,谢谢了~
2011-7-28 09:20
0
雪    币: 56
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
直接用注册表开啊
2011-8-3 15:04
0
雪    币: 9
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
这方案,不错,学习了
2011-8-3 16:55
0
雪    币: 33
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
第一步,点击“开始”菜单/设置/控制面板/管理工具,双击打开“本地安全策略”,选中“IP 安全策略,
在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,
于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,
则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。

第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,
随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,
然后再点击右边的“添加”按钮添加新的筛选器。   

第三步,进入“筛选器属性”对话框,首先看到的是“地址”,源地址选“任何 IP 地址”(如果“源地址”选择“一个特定的IP或子网”,
其他的设置相同就可屏蔽某个IP),目标地址选“任何 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,
然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,
它可以防止外界通过135端口连上你的电脑。点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,
重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。
建立好上述端口的筛选器,最后点击“确定”按钮。   

第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。
在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,
选择“阻止”,然后点击“确定”按钮。

第五步、进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;
最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,
用鼠标右击新添加的 IP 安全策略,然后选择“分配”。

重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑

如果你安装了防火墙只需将某个IP加入“屏蔽列表”就行了。
2011-8-4 14:15
0
雪    币: 152
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
楼上的是屏蔽端口吧,lz的意思隐藏端口,让命令行看不到,不能遍历出来,但是依然能继续使用~
2011-8-4 14:54
0
雪    币: 967
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
楼上的几种方法听起来好像都还不错!关键哪种解决方案比较完美?
2011-8-13 10:12
0
游客
登录 | 注册 方可回帖
返回
//