坪山網(wǎng)站建設基本流程揭陽新站seo方案
使用方法
1.在創(chuàng)建客戶頁面設置IP、端口,生成木馬
2.在刷新IP頁面設置監(jiān)聽IP和監(jiān)聽端口
3.等待受控靶機運行木馬即可上線
檢測方案
1.檢測心跳包,此工具的心跳包包括TCP協(xié)議和HTTP協(xié)議,時間間隔為50秒
2.當遠控工具產生交互行為時,上行流量會大于下行流量
上行數(shù)據(jù)包統(tǒng)計:
下行數(shù)據(jù)包統(tǒng)計:
3.PSH標志包和SYN標志包占比增加
PSH標志包總數(shù)為916,占100%
SYN標志包總數(shù)為916,占100%
4.數(shù)據(jù)交互時,會產生特征字段。
發(fā)送desktop.ini文件所在路徑。desktop.ini文件常見于病毒木馬在運行時創(chuàng)建的文件,即正常行為不會產生。
發(fā)送shell32.dll的文件路徑
HTTP心跳包攜帶特征字段,特征字段為PO ST /年/月日/xxx xxx/xxxxxxx.jsp