查出反向木马的反向连接域名(2)

　　监听前介绍一下NOTEBOOK的状态，中了灰鸽子木马。查到服务名的方法很简单，使用入侵检测工具icesword，那么更容易了，打开就可以查看到所有进程和所有服务，无论是否隐藏的，一目了然发现IEXPLORER进程和lente服务是隐藏的（见图1和图2），于是禁止lente服务。（假如没有 icesword也没问题，进入安全模式，system32文件夹下搜索_hook.dll，发现一个systen_Hook.dll，明显是灰鸽子，注册表中搜索systen，发现关联的服务名为lente），把中了灰鸽子的NOTEBOOK一切有关网络的第三方开机自启动程序都禁止，防止引起不必要的域名查询混淆监听结果，把lente服务改成Manual方式，最后启动服务，在PC机上观察监听结果。

　　图1，点击可放大

　　图2，点击可放大

　　其中192.168.1.2是NOTEBOOK的IP地址，202.96.209.6是NOTEBOOK的主域名服务器，并且没有设置辅助域名服务器。 PC机的IP地址是192.168.1.3，这不太重要，因为是通过HUB连接的，只要启用网卡，无论设置成怎么样都会监听到NOTEBOOK的数据。

　　监听NOTEBOOK向默认域名服务器（202.96.209.6）的域名查询请求（图3）：

　　图3

　　PC机命令行输入：windump –vvnXi2 src 192.168.1.2 and dst 202.96.209.6 命令中vv表示更详细的显示输出，n表示用数字表示服务端口和用IP表示已知域名的IP，src 192.168.1.2 and dst 202.96.209.6 表示只监听来自192.168.1.2并且目标是202.96.209.6的数据包，当然可以根据需要随机应变。

　　监听NOTEBOOK接受到默认域名服务器（202.96.209.6）的域名查询响应（图4）：

　　图4

　　从以上监听数据来看，灰鸽子服务的启动过程中只向域名服务器查询了ns1.3322.net的IP地址，并且域名服务器返回的结果告诉我 ns1.3322.net的IP地址是61.177.95.125，查询类型为A，即最普通的域名到IP的查询。当然ns1.3322.net绝不可能是那个反向连接域名，因为这是希网动态域名解析的主DNS服务器。灰鸽子居然向我的默认DNS服务器查询另外一个DNS服务器的IP，或许是使用别的域名服务器，为了掩人耳目？我停止了PC机上的监听，准备改成监听ns1.3322.net和NOTEBOOK之间的数据，果然不出所料，得到以下结果。

　　监听NOTEBOOK向域名服务器ns1.3322.net的域名查询请求（图5）：

　　图5