gh0st远控流量分析报告
使用方法
1.运行编译后bin目录下的gh0st.exe文件,Settinas为设置监听选项,Build为创建木马。
2.设置监听端口和攻击机ip,并记录上线字段。
3.复制之前的上线字段,点击生成服务器即可生成木马。
4.等待受害者靶机运行木马即可。
检测方案
1.检测心跳包,时间间隔为3分钟。
2.上行流量大于下行流量
上行数据包统计
下行数据包统计
3.检测Magic字段
在一些变种中常见为F1X6B和FLYNN,但都为5字节或5字节的整数倍
使用方法
1.运行编译后bin目录下的gh0st.exe文件,Settinas为设置监听选项,Build为创建木马。
2.设置监听端口和攻击机ip,并记录上线字段。
3.复制之前的上线字段,点击生成服务器即可生成木马。
4.等待受害者靶机运行木马即可。
检测方案
1.检测心跳包,时间间隔为3分钟。
2.上行流量大于下行流量
上行数据包统计
下行数据包统计
3.检测Magic字段
在一些变种中常见为F1X6B和FLYNN,但都为5字节或5字节的整数倍