上兴远控流量分析报告
使用方法
1.在生成页面设置ip、端口,然后生成木马
2.设置监听端口
3.等待受控靶机运行木马即可上线
检测方案
1.检测心跳包,时间间隔为120秒(可变)
2.上行流量大于下行流量
上行数据包统计
下行数据包统计
3.统计PSH标志包和SYN标志包占比
数据包总数831,PSH标志包总数831,占比100%
数据包总数831,SYN标志包总数831,占比100%
4.建立连接时,会产生一个TCP包铭文传递信息
5.当被远控木马控制时,数据传递为明文
执行netstat -ano 时的数据包
返回的数据包