gh0st远控流量分析报告

最新推荐文章于 2024-05-04 11:44:11 发布
最新推荐文章于 2024-05-04 11:44:11 发布
阅读量1.8k 收藏 2
点赞数
分类专栏: 远控工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DFMASTER/article/details/90672534
版权

使用方法

1.运行编译后bin目录下的gh0st.exe文件,Settinas为设置监听选项,Build为创建木马。

2.设置监听端口和攻击机ip,并记录上线字段。

2.png
3.复制之前的上线字段,点击生成服务器即可生成木马。

3.png
4.等待受害者靶机运行木马即可。

5.png

检测方案

1.检测心跳包,时间间隔为3分钟。

image.png

2.上行流量大于下行流量
上行数据包统计

image.png
下行数据包统计

image.png
3.检测Magic字段

image.png
在一些变种中常见为F1X6B和FLYNN,但都为5字节或5字节的整数倍

DFMASTER
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御
杨秀璋的专栏
07-24 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源。这篇文章将详细分享远控木马及APT攻击中的远控,包括木马的基本概念和分类、木马的植入方式、远控木马的通信方式、APT攻击与远控木马等。作者之前分享了多篇木马的文章,但这篇更多是讲解远控型木马,基础性文章,希望对您有所帮助~
gh0st远控执行程序
05-25
gh0st运控执行程序,已去除KillMBR恶意代码。 支持XP及之前系统,vista以后兼容性有问题。 解压密码: gh0st 杀软会报,谨慎下载。 杀软会报,谨慎解压。 杀软会报,谨慎远控
gh0st3.6_src红狼官方_源码_远程_Gh0st_远程控制_
10-02
远程控制软件源代码,Gh0st3.6版,真正可以编译的源代码
浅谈远控木马
热门推荐
systemino的博客
07-05 1万+
远控木马这个词说起来总觉得很有年代感,作为一枚安全行业菜鸟,最初的启蒙就是分析各类远控的被控端,从行为到流量去了解这一类恶意代码的发展变化。网上对于远控木马的分析比比皆是,因此本文从个人的角度出发,总结了一下对于远控木马的一些理解,可能有所欠缺,欢迎交流学习。 从控制端熟悉远控木马的功能 在最早接触到远控木马的时候,我大概使用过上百种远控软件的客户端,要了解一个远控木马的功能,最直接的方式就是...
Gh0st与云安全
11-19 131
黑产攻击途径升级,云服务成重灾区 在我们的印象里,黑产以及相关的肉鸡DDOS攻击总是离我们很远。可实际情况并非如此,特别是在云服务大行其道的今天。 日前,腾讯反病毒实验室就观察到了国内云服务中Gh0st远控新样本出现爆发式增长,并就此进行了分析溯源。在经过反病毒工程师一系列分析后,我们发现这些样本在云服务上的应用分为两种:1,使用大量低配置云服务器进行样本生成和分发...
Gh0st通信协议解析
crkres9527
05-17 1380
Gh0st通信协议解析 ******************************************************************************* 从主控端初始化IOCP服务器开始讲起 [cpp]view plaincopyprint?   1        // 启动IOCP服务器  2        int nPort = m_IniFile.
WinOs4.0分析 一
最新发布
ip1234pi的博客
05-04 2043
WinOs是基于开源的Gh0st源码改编而成的。它功能齐全,控制架构稳定可靠,能够轻松实现数千个受控端的稳定上线。此外,代码注释详尽清晰,便于修改以免疫杀软检测。主要模块分为上线模块和功能模块。上线模块负责维持后门,接收命令并执行功能模块的功能。
利用云笔记平台投递远控木马的攻击活动分析
xxwn200301的博客
08-10 165
近期,安天CERT监测到一起利用云笔记平台投递远控木马的攻击活动。攻击者将远控木马相关载荷文件托管于某云笔记平台中,借助可信站点规避安全产品在流量侧的检测,并且持续更新其中的文件。本次攻击活动于2022年开始进行,攻击者将伪装成应用程序的诱饵文件投放至下载站,或者利用钓鱼邮件发送伪装成文档的诱饵文件,以此引诱用户下载执行。诱饵文件执行后采用“DDR”(DeadDrop。
HackingBackRATs
weixin_30823833的博客
09-07 156
Hacking back RATs 作者:Hiina@NiXiTeam 在 blackhat2017,@professor__plum 爆料了几款常见远控(Xtreme、PlugX、Gh0st)的远程溢出。随后 msf 也更新了 EXP,并给出了测试用例。 模拟测试 Gh0st 首先测试 gh0st,这款远控比较久远了,大家应该很熟悉了。 运行 gh0st,得知默认监听端口为80,测...
Linux中木马如何处理
rqaz123的博客
05-12 1498
如果是Linux服务器中了病毒,那么如何发现病毒并且清楚该病毒呢,我这边说说我的一些处理的大概思路吧。 1、注意备份数据,运维首先想到的是数据得安全性,一般情况你要注意这台中病毒的是app应用、文件、还是数据库服务器,注意数据的安全性,我习惯性是会将数据或者程序文件等等先临时传输到另外一台临时的服务器,或者其他目录; 2、 分析是什么异常进程,有的病毒ps命令可以看,如果病毒是挖矿程序等通常都是rookkit伪装成内核进程,一般命令看不了; 3、netstat查看异常链接; 4、iftop等查看服务
gh0st-vs2017.zip_Gh0st_hist3n_muddqn_远程控制
07-14
gh0st具有隐蔽性高、功能强大的特点,可以执行多种命令,包括文件管理、屏幕截图、键盘记录、网络流量控制等。它可以通过多种方式传播,如电子邮件附件、恶意网站下载或通过已感染的USB设备。 "hist3n"和"muddqn...
Gh0st:远控原始码
03-24
Gh0st: 远控原始码】 Gh0st,这个名字可能对熟悉网络安全领域的人来说并不陌生,它是一款远程控制软件(RAT)的源代码。"远控原始码"意味着这里是Gh0st软件的开发源代码,通常由程序员和安全研究人员用于研究、...
7月22更新gh0st远控源码(下载SDK库)
07-30
gh0st远控源码】是针对C++编程领域的一款远程控制软件的源代码,其核心在于提供了学习和研究远程控制技术的机会。gh0st以其功能性和稳定性著称,对于想要深入理解网络通信、系统控制以及软件安全的开发者而言,这...
gh0st远控(华夏专版)
09-04
gh0st远控(华夏专版)】是一款在2010年推出的经典远程控制软件,主要用于实现对目标计算机的远程监控和管理。这款软件以其全面的功能和稳定性获得了用户的认可,尤其在华夏地区有着一定的影响力。下面我们将深入...
护网蓝队面试题
weixin_44248977的博客
05-22 9374
护网蓝队面试
Remcos RAT流量分析报告
DFMASTER的博客
05-30 1619
使用方法 1.运行根目录下的exe文件,在Agent Builder页面设置连接ip、端口、密码,生成exe木马,默认端口为2404 2.在Local Settings页面设置监听端口和密码 3.等待靶机运行木马即可上线 检测方案 1.可检测从2404端口传递的心跳包,时间间隔为1s,且心跳包的协议为TCP和104apci交替出现 2.检测端数据包占比,数据包长度为40-159的占比...
QuasarRAT流量分析报告
DFMASTER的博客
05-29 1432
使用方法 1.在根目录运行build-debug.bat和build-release.bat 2.运行在Bin/Release目录下的Quasar.exe 3.Builder建立木马,Connection Hosts设置IP,端口自定义 4.Setting listening之前自定义的端口 5.等待目标靶机运行木马即可上线 检测方案 1.检测心跳包,时间间隔为25秒 2.当远控工具...
NanoCore RAT流量分析报告
DFMASTER的博客
05-30 1380
使用方法 1.运行根目录下的NanoCore.exe,在Builder里设置Host为攻击机ip与利用端口,默认端口为53896 2.设置监听端口,默认有1337、1605和53896 3.等待受控靶机执行生成的木马即可上线 检测方案 1.可检测从53896端口传递的心跳包,时间间隔为1s、2s或者3s 2.检测端数据包占比,数据包长度40-159的占比为97.51% 3.当远控工具...
pcapng流量分析
11-14
pcapng是一种用来在网络中捕获和存储网络流量数据的文件格式,可以用于流量分析和网络安全等领域的研究和实践。 在pcapng流量分析中,首先需要有一个可以捕获网络流量的工具,如Wireshark或tcpdump。这些工具可以将捕获到的网络数据保存为pcapng文件。 通过对pcapng文件的分析,我们可以获得很多有价值的信息。一方面,我们可以了解网络中的通信活动,包括源地址、目的地址、端口号、协议类型等。这些信息可以帮助我们识别和分析网络流量的来源和目的,了解网络中的通信模式和流量分布情况。 另一方面,我们可以对pcapng文件进行深入的数据包解析,包括对IP、TCP、UDP等网络协议的解析和重组。通过对数据包的解析,我们可以进一步分析网络中的通信行为,如判断是否存在异常流量、检测是否有恶意行为等。 除此之外,pcapng流量分析还可以帮助我们进行网络性能优化。通过分析网络流量,我们可以识别瓶颈、查找延迟和丢包等问题,从而优化网络架构和配置,提高网络的性能和稳定性。 总的来说,pcapng流量分析是一项重要的工作,可以帮助我们了解网络通信活动、检测网络安全问题和优化网络性能。通过分析pcapng文件,我们可以获得具体的网络数据,进而为网络的管理和维护提供有力的支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值