??域前置是服務器支持的一種技術，大家可以把它看成是轉發的技術。這種技術和SSL組合到一起檢測的難度直接變高，惡意程序真正連接的C&C很難辨別。

惡意程序可以向一個高可信的域名發送請求，使用https協議向它發送請求，發送請求的時候把真正要訪問的地址寫到hosts里。

當惡意程序把這個數據發到了支持前置域名轉發的域前置服務器上以后，這個服務器會根據hosts里填寫的地址將請求進行轉發。C&C的IP只有轉發它的服務器才知道，這種技術給我們帶來的最大困難就是沒有辦法檢測。

上圖程序向可信域名發起DNS請求

加密數據傳輸

樣本分析過程

想知道C&C是什么我們在關鍵函數下一個斷點，在堆棧里能看到它的hosts，紅框是它真正的主機，這就是一個域前置。

要想發起一個網絡的數據，可以不依賴任何的系統API（WindowsAPI實際上分兩部分，一是應用層，二是內核層） 。

應用層API相當于是內核層這些函數的一個接口，它僅僅是一個接口做一些域處理，然后他通過sysenter中斷指令直接調用內核函數。

通信實現方式總結

惡意程序使用這些流量層面的這些實踐方法，它也是隨著協議的發展而逐步演進。

????

總結

以上是生活随笔為你收集整理的SSL通信和域前置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。