以往分析木马文件的时候一般使用微步云沙箱去测试木马文件指向服务器地址,然后根据得到的IP去粗略的查看该IP是否为恶意。但是有时候会在客户内网环境里去做木马分析,这时候不能随时访问各种云沙箱了,工作中增加了些许阻力,今天突发奇想有个骚操作,也许能帮你省下查IP地址的时间。
首先想到的工具当然是抓包神器wireshark,经过测试确实能抓取到CS的服务器地址,但是双击即运行,在抓取到ip的同时,自己电脑也中招了。
然后想起来系统自带的打开个百度都卡半天的远古ie浏览器好像可以设置真·全局代理(注意:是左边的这个)。
从internet选项中选择连接,点击局域网设置。
勾选为LAN使用代理服务器,使用你burpsuite的地址和端口。
这样就能真·全局代理了,双击CS木马文件的时候会在burpsuite有个访问请求,请求的地址就是CS服务器的地址了~得到地址后千万不要放包,直接丢弃就好,这样自己电脑就不会中招了。
这时候就在不联网的情况下得到了CS木马的服务器IP地址,感觉在内网中挺实用的。