查出反向木马的反向连接域名(3)

　　监听NOTEBOOK收到域名服务器ns1.3322.net的域名查询响应（图6）：

　　图6

　　从给ns1.3322.net的域名查询请求中可以看到，中了灰鸽子的NOTEBOOK向ns1.3322.net发送了一个查询域名 65200.huigezi.org的请求，查询类型为MX，即邮件交换记录，也就是发向邮件地址someone@65200.huigezi.org 的邮件将会到达的的主机的地址（注意这里的MX记录正好是和原来的域名一样，其实完全可以不一样的，若MX记录为163.com，那么这封邮件就发送到 163.com这台主机去了）。至此已经可以清晰的看出这个灰鸽子的反向域名为65200.huigezi.org，我ping了一下，发现这与我刚开机时ICESWORD里看到的IEXPLORER进程连接某IP的8000端口的那个IP相同，可以确定结果完全正确。反向域名成功获得。不过这里出现一个技术疑问，nslookup后发现huigezi.org的域名服务器为ns1.3322.net，但是为何会直接向ns1.3322.net服务器查询呢？应该是我设置的域名服务器去问ns1.3322.net，然后告诉我查询结果，并且缓存查询结果，我对于这个过程是一无所知的，就像我的域名服务器原来就知道答案一样，我猜测是木马的自我保护方式，各位有更好的解释的话指点我下，谢谢了。得到域名后接下来可以做的事很多，我也不一一例举了（其实是域名劫持的综合技术要求很高，我没那水准…），不过假如你实在是很气愤的话，比如对方删了你硬盘重要文件等等，我可以告诉你，110找网警…

　　在整个监听过程中遇到过许多麻烦，比如NOTEBOOK上有其他程序访问网络，导致PC机上的终端输出狂闪不止，根本没法看，保存在文件里的话，也找得头晕，重启系统无数次等等…我始终相信技术是可以灵活使用的，创新的思路尤其重要，可能会有很意想不到的结果，无论是成功或者失败，去尝试一下总会获得一些经验，学到一点东西（在此稍点一下，名叫LOVEBOOM[DFCG][FCG][CUG]的家伙反编译了灰鸽子的客户端找出了灰鸽子的配置信息，当然包括反向连接域名，技术厉害哦，呵呵，不过遇到一个木马就反编译一个那就-_-，说笑的，偶很佩服他）。通过监听与域名服务器的通讯的方式从原理上来说对于一切木马都有效，所以我不太使用反向连接的木马，很早以前就觉得不安全。大家有技术上的问题可以和我一起学习探讨。

　　花絮：我的灰鸽子是BT下载死神漫画的时候机缘巧合中的，看到bleach000.exe，一个JPG图像的图标（我把系统中的显示已知文件名的后缀选项去掉的），来不及了，我太喜欢黑崎一户了，手快了…