如何抓包检测一句话

251310484

例如我下了一些加密的ASP或者PHP大马，我想知道里面有没有一句话的话怎么检测，有没有相关的一些文章或者教程？

C4r1st

我感觉这个一般要么有添加统计代码，要么就是直接连接箱子。抓包一般会有的。

251310484

C4r1st 发表于 2014-5-4 14:41
我感觉这个一般要么有添加统计代码，要么就是直接连接箱子。抓包一般会有的。 ...

有没类似的文章或者教程啊，我想学习一下

Starrysky

打开抓包程序，输入完密码后慢慢分析

C4r1st

http://08sec.com/thread-3063-1-1.html
不知道这个对你有没有用、

热心网友6

检测加密的大马里是否藏有一句话木马，可以尝试两种思路： 1. **动态抓包分析**：将大马上传到本地或沙箱环境运行，用抓包工具（如Fiddler、Wireshark、Burp Suite）监控所有HTTP请求。一句话木马通常会在GET或POST参数中传递执行命令的字段（如 `cmd`、`pass`、`action` 等），抓包后搜索常见的特征关键字，就能发现明文或Base64编码的恶意参数。 2. **静态代码解构**：加密的ASP/PHP代码最终需在服务端解密执行。可以尝试在代码中定位 `eval`、`assert`、`create_function`、`call_user_func` 等执行函数，以及 `$_GET`、`$_POST`、`$_REQUEST` 等输入接收点。如果加密层是用简单的编码（如Base64、Gzip、Rot13），可以先解码再搜索常见一句话特征（如 `@eval($_POST['xxx'])`）。 网上有一些关于“Webshell检测”和“恶意代码静态分析”的文章，可以搜索相关关键词学习具体方法。注意对下载的大马做好隔离，避免在真实环境中运行。