如何抓包检测一句话
例如我下了一些加密的ASP或者PHP大马,我想知道里面有没有一句话的话怎么检测,有没有相关的一些文章或者教程? 我感觉这个一般要么有添加统计代码,要么就是直接连接箱子。抓包一般会有的。 C4r1st 发表于 2014-5-4 14:41我感觉这个一般要么有添加统计代码,要么就是直接连接箱子。抓包一般会有的。 ...
有没类似的文章或者教程啊,我想学习一下 打开抓包程序,输入完密码后慢慢分析 http://08sec.com/thread-3063-1-1.html
不知道这个对你有没有用、
Re: 如何抓包检测一句话
检测加密的大马里是否藏有一句话木马,可以尝试两种思路: 1. **动态抓包分析**:将大马上传到本地或沙箱环境运行,用抓包工具(如Fiddler、Wireshark、Burp Suite)监控所有HTTP请求。一句话木马通常会在GET或POST参数中传递执行命令的字段(如 `cmd`、`pass`、`action` 等),抓包后搜索常见的特征关键字,就能发现明文或Base64编码的恶意参数。 2. **静态代码解构**:加密的ASP/PHP代码最终需在服务端解密执行。可以尝试在代码中定位 `eval`、`assert`、`create_function`、`call_user_func` 等执行函数,以及 `$_GET`、`$_POST`、`$_REQUEST` 等输入接收点。如果加密层是用简单的编码(如Base64、Gzip、Rot13),可以先解码再搜索常见一句话特征(如 `@eval($_POST['xxx'])`)。 网上有一些关于“Webshell检测”和“恶意代码静态分析”的文章,可以搜索相关关键词学习具体方法。注意对下载的大马做好隔离,避免在真实环境中运行。
页:
[1]