木马-检测 实验-提点


测试能否ping通彼此(关闭防火墙)
控制端:192.168.137.130
被控端:192.168.137.131


低头啦。快录制一个晚上啦。结果总是出错误~
按照文档一步一步做,有一个是加入环境变量。如下
%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\MySQL\MySQL Server 5.5\bin;C:\Snort\bin
最后一个就是咱们加入的。
还有
snort -c "c:\snort\etc\snort.conf" -l "c:\snort\log" -i 2 -d -e (这个命令,有坑的。)
snort -W 可以查看网卡
所以-i后面跟1才有意义!

先测试,第一个。出现啦

接下来进行木马测试,挑一个我已经实现过得~
选中火狐!OK说明已经被控制啦!在被控端打开wireshark抓包,local-start
刚才木马没啦,重新放进去一次。

如何抓去分析:
等到数据不怎么进行更新的时候,在控制端进行一些文件操作,就会看到有新的数据包产生!

看了两次,“8b4ca58172880bbb”重复出现好多次,我们就可以利用这个作为识别木马的条件!
alert tcp any any -> any any (content:"58172880bbb";msg: "HuiceshiGeZi packet detected!";sid:222;)

演示结束!

posted @ 2020-11-18 22:06  努力变胖-HWP  阅读(147)  评论(1编辑  收藏  举报