普通木马的服务程序打开特定的端口监听，攻击者通过所掌握的客户端程序发出请求，木马便与其连接起来。可见，此类木马的最大弱点在于攻击者必须和用户主机建立连接，木马才能起作用。所以在对外部连接审查严格的防火墙下，这样的木马很难工作起来。

反弹端口型木马分析了防火墙的特性后发现：防火墙对于连入的连接往往会进行非常严格的过滤，但是对于连出的连接却疏于防范。于是，与一般的木马相反，客户端（控制端）打开某个监听端口，反弹端口型木马的服务端（被控制端）主动与该端口连接，客户端（控制端）使用被动端口，木马定时监测控制端的存在，发现控制端上线，立即弹出端口主动连接控制端打开的主动端口。由于反弹式木马使用的是系统信任的端口，系统会认为木马是普通应用程序，而不对其连接进行检查。防火墙在处理内部发出的连接时，就会信任反弹木马。例如，控制端的被动端口一般为80，这样，即使用户使用端口扫描软件检查端口，发现的也是类似“TCP UserIP：1026 ControllerIP：80 ESTABLISHED”的情况，稍微疏忽一点，就会以为是自己在浏览网页。下面以“灰鸽子”为例介绍此类木马的工作过程。

（一）配置服务器程序

打开“灰鸽子”客户端程序“H_dient.exe”，按照图2-85所示开始配置服务器端程序。

图2-85　配置“灰鸽子”服务器程序

按照图2-86所示设置参数，其中10.3.40.55（计算机名“405-T”）是客户端（控制端），80是控制端打开的监听端口。从中可以看出“灰鸽子”木马的伪装，包括进程名称、设置为服务启动、显示的图标等。

图2-86　灰鸽子服务器程序端参数的设置

在客户端的菜单中选择【设置】→【系统设置】→【端口设置】可以设置自动上线的端口，如图2-87所示。设置这些端口之后，意味着客户端的这些端口处于监听状态。这里设置的是80端口。

图2-87　配置灰鸽子服务器程序端参数

（二）传播木马(www.daowen.com)

通过邮件、QQ等方式传播该木马服务器程序，并诱惑被攻击者运行该程序。

（三）客户端（控制端）操作

“灰鸽子”的客户端界面如图2-88所示，服务器端运行后会自动上线。从图2-88中可以看到10.3.40.1和10.3.40.2已经上线。“灰鸽子”有获取系统信息、限制系统功能、屏幕捕获、文件管理、远程控制、注册表管理、文件传输、远程通信等功能。

图2-89所示的是“灰鸽子”客户端端口的情况，本地打开的是HTTP端口。图2-90所示是“灰鸽子”服务器端端口的情况，在服务器端看来就是在连接405-T的80端口，与访问某台Web服务器一样。

图2-88　“灰鸽子”客户端

图2-89　“灰鸽子”客户端端口的情况

图2-90　配置“灰鸽子”服务器端端口的情况

现在个人版防火墙在防范反弹式木马上都有有效的方法：采用应用程序访问网络规则，专门防范存在于用户计算机内部的各种不法程序对网络的应用，从而可以有效地防御“反弹式木马”等骗取系统合法认证的非法程序。当用户计算机内部的应用程序访问网络时，必须经过防火墙的内墙审核，合法的应用程序被审核通过，非法的应用程序将会被个人版防火墙所拦截。