透视木马程序开发技术（中）

　　4、木马程序的建立连接的隐藏

　　木马程序的数据传递方法有很多种，其中最常见的要属TCP,UDP传输数据的方法了，通常是利用Winsock与目标机的指定端口建立起连接，使用send和recv等API进行数据的传递，但是由于这种方法的隐蔽性比较差，往往容易被一些工具软件查看到，最简单的，比如在命令行状态下使用netstat命令，就可以查看到当前的活动TCP，UDP连接。

　　C:Documents and Settingsigball>netstat -n

　　Active Connections

　　Proto　Local Address　　　　　Foreign Address　　　　State

　　TCP　　192.0.0.9:1032　　　　 64.4.13.48:1863　　　　ESTABLISHED

　　TCP　　192.0.0.9:1112　　　　 61.141.212.95:80　　　 ESTABLISHED

　　TCP　　192.0.0.9:1135　　　　 202.130.239.223:80　　 ESTABLISHED

　　TCP　　192.0.0.9:1142　　　　 202.130.239.223:80　　 ESTABLISHED

　　TCP　　192.0.0.9:1162　　　　 192.0.0.8:139　　　　　TIME_WAIT

　　TCP　　192.0.0.9:1169　　　　 202.130.239.159:80　　 ESTABLISHED

　　TCP　　192.0.0.9:1170　　　　 202.130.239.133:80　　 TIME_WAIT

　　C:Documents and Settingsigball>netstat -a

　　Active Connections

　　Proto　Local Address　　　　　Foreign Address　　　　State

　　TCP　　Liumy:echo　　　　　　 Liumy:0　　　　　　　　LISTENING

　　TCP　　Liumy:discard　　　　　Liumy:0　　　　　　　　LISTENING

　　TCP　　Liumy:daytime　　　　　Liumy:0　　　　　　　　LISTENING

　　TCP　　Liumy:qotd　　　　　　 Liumy:0　　　　　　　　LISTENING

　　TCP　　Liumy:chargen　　　　　Liumy:0　　　　　　　　LISTENING