![](https://img-blog.csdnimg.cn/20201014180756930.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
远控工具
DFMASTER
这个作者很懒,什么都没留下…
展开
-
Remcos RAT流量分析报告
使用方法 1.运行根目录下的exe文件,在Agent Builder页面设置连接ip、端口、密码,生成exe木马,默认端口为2404 2.在Local Settings页面设置监听端口和密码 3.等待靶机运行木马即可上线 检测方案 1.可检测从2404端口传递的心跳包,时间间隔为1s,且心跳包的协议为TCP和104apci交替出现 2.检测端数据包占比,数据包长度为40-159的占比...原创 2019-05-30 16:13:14 · 1619 阅读 · 0 评论 -
NanoCore RAT流量分析报告
使用方法 1.运行根目录下的NanoCore.exe,在Builder里设置Host为攻击机ip与利用端口,默认端口为53896 2.设置监听端口,默认有1337、1605和53896 3.等待受控靶机执行生成的木马即可上线 检测方案 1.可检测从53896端口传递的心跳包,时间间隔为1s、2s或者3s 2.检测端数据包占比,数据包长度40-159的占比为97.51% 3.当远控工具...原创 2019-05-30 16:23:31 · 1380 阅读 · 4 评论 -
Bifrost RAT 流量分析报告
使用方法 1.在Builder页面设置IP、端口、密码,然后Build生成木马 2.设置密码和监听端口,当受控靶机运行木马时即可上线 检测方案 1.检测心跳包,时间间隔为15s,为TCP的三个包。时间间隔根据不同版本而不同。版本为Birost1.2.1d的时间间隔为12秒 2.检测短数据包,数据长度为40-159的数据包占比为79.98% 3.当远控工具产生交互行为时,上行流量大于下...原创 2019-05-30 16:34:25 · 1069 阅读 · 0 评论 -
gh0st远控流量分析报告
使用方法 1.运行编译后bin目录下的gh0st.exe文件,Settinas为设置监听选项,Build为创建木马。 2.设置监听端口和攻击机ip,并记录上线字段。 3.复制之前的上线字段,点击生成服务器即可生成木马。 4.等待受害者靶机运行木马即可。 检测方案 1.检测心跳包,时间间隔为3分钟。 2.上行流量大于下行流量 上行数据包统计 下行数据包统计 3.检测Magic字段...原创 2019-05-29 15:57:05 · 1842 阅读 · 0 评论 -
上兴远控流量分析报告
使用方法 1.在生成页面设置ip、端口,然后生成木马 2.设置监听端口 3.等待受控靶机运行木马即可上线 检测方案 1.检测心跳包,时间间隔为120秒(可变) 2.上行流量大于下行流量 上行数据包统计 下行数据包统计 3.统计PSH标志包和SYN标志包占比 数据包总数831,PSH标志包总数831,占比100% 数据包总数831,SYN标志包总数831,占比100% 4.建立连...原创 2019-05-29 15:56:40 · 890 阅读 · 1 评论 -
PCShare流量检测报告
使用方法 1.在创建客户页面设置IP、端口,生成木马 2.在刷新IP页面设置监听IP和监听端口 3.等待受控靶机运行木马即可上线 检测方案 1.检测心跳包,此工具的心跳包包括TCP协议和HTTP协议,时间间隔为50秒 2.当远控工具产生交互行为时,上行流量会大于下行流量 上行数据包统计: 下行数据包统计: 3.PSH标志包和SYN标志包占比增加 PSH标志包总数为916,占100%...原创 2019-05-29 16:04:13 · 835 阅读 · 0 评论 -
QuasarRAT流量分析报告
使用方法 1.在根目录运行build-debug.bat和build-release.bat 2.运行在Bin/Release目录下的Quasar.exe 3.Builder建立木马,Connection Hosts设置IP,端口自定义 4.Setting listening之前自定义的端口 5.等待目标靶机运行木马即可上线 检测方案 1.检测心跳包,时间间隔为25秒 2.当远控工具...原创 2019-05-29 16:25:03 · 1432 阅读 · 0 评论