- 博客(1)
- 收藏
- 关注
原创 哥斯拉流量分析特征
我们在看哥斯拉最好还是要看此类的返回包更好的分析特点就在于他的16位md5值与base64和16位md5值,着重要注意因为加载器的不同会变成相应的值,但是哥斯拉的第三次连接,返回包会产生大量的数据,虽然第二次和第三次发送的数据包是一样的,但是只有第三回才会返回这么多数值,原因也很简单因为最后一回连接就是直接进入终端数据量会变大,注意根据加密的不同可能是多种加密。再后来我发现了当每一次命令执行的时候哥斯拉都会发送类似的请求,服务器会返回密文与之前的方式一样故此我们可以通过这个判断他的工具。
2025-04-10 14:59:12
751
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人
RSS订阅