中国菜刀之检查是否含有shell

http协议的后门：

　　使用工具：WSExplorer（抓包工具），编解码器Encoder（对数据包进行解码）

　　过程：用抓包工具抓菜刀的进程，抓取含有菜刀密码的那个包（post），对其第一次解码：URI解码(decode),第二次解码：将“z0=”后面的数据进行base64解码，第三次进行解码：@eval(base64_decode后面括号的内容进行base64解码，如果是带有后门的菜刀。会有@file(),括号内带有的是一个后门网址

 

 

Tcp协议的后门:

　　工具：Microsoft Network Minitor 3.4（监控与分析网路封包），

　　过程：minitor工具使用：select network选择本地网卡即可————>new captrue————>start：就开始了抓包，如果有Tcp协议的后门，可能抓到有发往外网的包

　　

怎么让菜刀后门失效：

　　方法：修改本地Host

　　过程：进入c:\WINDOWS\system32\drivers\etc的hosts：将后门地址的域名映射到127.0.0.1（对：http协议的后门）

 

反日菜刀后门：

　　后门地址是get型的，在后面插入xss代码