浅谈从反木马角度分析怎样提高木马反跟踪能力
首先声明下，本人既不是软件厂商技术人员,也不是黑产从业人员。写这篇文章只是记录自己对木马技术研究的一些分析，也并不代表这些技术是当前木马技术领域的主流技术。只是用来分享和交流之用。
进入正题，反木马技术我个人认为比较常见的分为两种，一种是对木马网络特征行为进行分析，如用wireshark 等抓包工具分析网络特征(对单独一台主机分析时较常见)，还可以用硬件防火墙分析网络协议数据包(分析整个内网数据流量时较常见)；另一种是对木马的文件特征行为进行分析，如用process monitor 分析某个可疑进程对的修改，还有杀毒软件厂商用的比较多的方法是对木马pe 文件进行逆向分析。
本文重点对木马网络特征行为进行研究，提高木马反跟踪能力。
我这里给出木马的设计思路草图, 如下：
源代码将在逆向分析中给出。
下面我想从木马抓包分析和使用IDA PRO 逆向分析给出木马的网络特征行为。
为了同步演示木马行为, 木马被控端也将同时运行，并输出调试信息。
下面是wireshark 抓包截图：
这是建立TCP 反弹连接时抓取到的数据包。
这是建立UDP 反弹连接时抓取到的数据包。
下面是用 IDA PRO 6.6 对 被控端shell.exe 进行分析。
这里查看到的IP地址 和使用wireshark 抓包获取的IP 地址是一样的，都是23.218.27.34
这个IP地址 只是起到干扰和伪装的作用，可以是任意国家的IP地址。
而UDP 上线IP 或者域名在 源代码中是赋值的，用IDA PRO 分析结果如下图：
对应的C++ 部分如下图：
当然，这个加密的上线IP 在上面的UDP 抓包和被控端运行调试信息中已经给出。
通过wireshark 和IDA 对木马分析得出上线IP 很可能就是23.218.27.34，而真正的上线IP 和端口 很有可能被忽略掉了。因为大多数的木马程序都采用TCP 反弹连接, 在分析木马的时候UDP 特征并不容易引起注意。
作者亲倾赠送
作为观看这篇文章的奖励, 我有一个小礼物送给大家
网络连接查看器(ver 0.5)
主要功能：查看当前网络TCP和UDP 连接
使用方法：
在&=Win7 系统上鼠标右键已管理员身份运行;
效果图如下：
链接: /s/1pJvHs6Z 密码: rgir
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'如何提高无线破解系统BT12抓获握手包的几率？或者说在抓包的同时辅助攻击也可以，最好是软件攻击。_百度知道疾风之刃强化+10高成功率技巧
时间： 9:37:55 来源： 作者：乐游
最近疾风之刃开启公测，可能很多玩家都忙着升级，当然也有不少玩家在忙着强化武器，到底怎样才能提高强化+10的成功率呢，看看下面的心得技巧吧。
最近疾风之刃开启公测，可能很多玩家都忙着升级，当然也有不少玩家在忙着强化武器，到底怎样才能提高强化+10的成功率呢，看看下面的心得技巧吧。
强化+10高成功率技巧
疾风的强化机制和DNF相同，不同的是延迟动画时间（这个敢接触强化的朋友，我想脚后根都能想到，我不解释了），但是强
化的判定延迟时间完全相同，这个我不独立给大家做视频，想了解的可以参考大商人‘B导’的强化视频，仔细看就能看出来疾风强化判定时间是在水过半的时候就
已经产生判定了的，后面的一半你取消还是不取消都不会对你是否成功造成任何影响，因为过半后公屏已经发出你是否成功的公告了。
化看脸，但是我和我的队友在山城和码头接高武强化单不下20笔，良心的说，我们有这个胆量来做这个，就有实力放出这套心得，因为方法是死的人是活的，不是
你死板的参照这套方案强化就一定能上，你要考虑当时段的强化成功率，别看别人的，看自己的，所以强化一定要自己先用垫子找自己号这个时段的成功率，那些认
为别人失败了自己直接扔就能成的，我就不多说了。强化看脸，再NB 的软妹币玩家也玩不过脸帝。
所周知强化需要先垫手，那么为什么要垫手？很多人问我强化本身不就是看脸，我垫手了一样碎了，其实我想告诉你垫手真正的目的不是增加成功率，是为了过度强
化失败的时段。而疾风的成功率和失败率的时段是体现的非常明显的，像DNF经常有人看别人失败了自己直接扔一手就成了，其实也是找时段，但是那毕竟是别人
的ID，每个人的数据流可不是一样的，你能保证你的数据封包是和运气好的人在一个封包里？你知道每秒服务器数据库要上下多少数据包，其实我不知道，但是我
知道非常多，多到我无法计算（以前DNF用封包工具抓包的应该懂一些，这里跑题了不多说。）
何利用垫子找几率时段，其实就是用垫子垫手，每次交单子的时候都有买家和买家朋友跑来问我，我这样几手失败了、又那样几手失败了，这个时候扔武器行不
行！！！我只是无奈的说了句，不知道。因为你的每个角色每个时段的强化几率是不一样的，我没法给你肯定的***，我也只能说不知道，可并不是我不耐烦。真碎
了我不能赔给你。强化商也可以把心得发出来让大家体会，但真的不能代表你用同样的方法就一定行。
这里说下千万别相信那些强化挂，第一目前没有，第二有了也会造成惨封，不用存在侥幸心理，不论哪款游戏都不会让你们钻这个漏洞，一旦被发现会一追到底，转多少手都没用，大家应该知道装备是有独立ID的吧，每个装备都有自己的***一样。不多说，只是建议。
在说找时段方法，先收or自己做好垫子，比如你今天的目的是要上一把10，那么你需要准备的是几把0强的低等垫子、两把+9低等垫子、一把OR两把你认为
的主武器（这个前期找时段的武器还是别用高武了，随便拍卖弄把浅蓝之类的，主要目的是测试。），然后相应等级的强化石要准备足够，这些准备工作做好了以
后，你需要做的就是按照我后面发出来的方案去强化，方案是死的，但是大致流程不能缺少，
0强低等垫子失败3
手、+9垫子碎2个，这个时候就扔测试用的主武器。这个是我通常用的方案，但是我大多时候上10基本都稍微偏离了我这个方案，因为我发现我0强垫子失败3
手后扔第一个+9垫子不用符文成功了，接着我又连续两次同样的机会第二个+9垫子上10了，后面测试用的主武根本没机会上，那么也就是说你这个角色这个时
段的9-10成功率就是第4手或者第5手，根本没必要等到第6手扔主武。这个就是找时段。
1-9别再问我了，无脑拼脸吧，别心疼白符文，才多少钱一块，失败了多少钱？
的垫子连失败3手，扔+9
的垫子2两手，都碎了就可以考虑扔主武了，记得扔绿色符文。若强化0强垫子期间0-2失败了不用考虑了，直接扔主武9上10，真心妥妥的。（此方法只可用
在9-10,10-11成功率也很高，但是良心话，我也没少失败。）但是别弄一大堆0强垫子在那找1失败，可遇不可求的东西。
10-11：参考9-10，不同的是在两手+9垫子碎了的基础上再扔一把+10，垫子碎了扔主武+11，第一把主武碎了扔第二把。两把必定成一把。（如果第二把碎了就别扔了，这是个坑，再扔多少都是白搭。重新找几率吧。）
这篇攻略对我有用
这篇攻略给0名玩家带来帮助
读完这篇文章后，您心情如何？
类型:角色扮演
类型:动作冒险
时间:2009年11月
2.82G34.7M23.8M23.7M91.9M
35.16G1.56G2.05G2.63G1.19G
周月热门攻略
周月总单机排行榜
评分:10.0(0好评)
评分:7.7(6416好评)
大小:38.6M
评分:10.0(0好评)
大小:2.36G
评分:10.0(0好评)
大小:364.9M
评分:7.4(6726好评)
大小:2.34G
评分:5.0(3193好评)
评分:10.0(0好评)
大小:52.3M
评分:7.7(5551好评)
大小:19.7M
评分:10.0(0好评)
评分:10.0(0好评)
评分:10.0(0好评)
大小:13.6M
评分:10.0(0好评)
评分:7.7(6416好评)
大小:63.7M
评分:7.9(22843好评)
大小:10.3M
评分:10.0(0好评)
评分:7.5(447好评)
大小:38.6M
评分:10.0(0好评)
大小:2.01G
评分:8.0(3251好评)
大小:635.9M
评分:6.7(12904好评)
评分:10.0(0好评)
评分:7.7(14854好评)
大小:63.7M
评分:7.9(22843好评)
大小:13.6M
评分:10.0(0好评)
评分:8.1(162好评)
大小:52.3M
评分:7.7(5551好评)
大小:2.34G
评分:5.0(3193好评)
大小:59.4M
评分:1.7(124好评)
评分:7.7(6416好评)
大小:2.01G
评分:8.0(3251好评)
大小:364.9M
评分:7.4(6726好评)