关于特种木马检测-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] 关于特种木马检测 0.00雪花

发表于: 2011-8-31 19:59 8866

[旧帖] 关于特种木马检测 0.00雪花

MeIsAce

2011-8-31 19:59

8866

关于特种木马的检测（就是很牛B的木马啦）我看了孤行有你的《网络可疑心跳发现未知木马》后画出来的一张图，但是总觉得不完善。

所以想问下各位，要是使用抓包的方式去找一个大型网络中的某台机器上的木马，那一个局域网内那么多的流量，怎么才可以快速的找出异常的“木马心跳”数据呢？有什么设备能办到吗？有的话设备名字叫什么啊？除了网络心跳之外还有什么有效的检测方法呢？另外请问谁还有特种木马的资料啊？有的话可否发小弟一份呢？谢谢各位大牛了~小弟的邮箱Pain.ace@Gmail.com

已经找到设备可以实现了谢谢各位

[课程]Android-CTF解题方法汇总！

上传的附件：

1.jpg （54.12kb，240次下载）

收藏・1

免费・0

支持

最新回复 (23)
fesfes 雪币： 115 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 135 粉丝 0 关注私信	fesfes 2 楼通过交换机来检测啊 ~ 这貌似很麻烦数据量这么大要么你只分析对外的ip 一般这样的木马平常的数据量不是很大的检测时候把数据量在缩小点还有一些木马的常用端口其他的就不太了解了具体什么设备什么的看看楼下的怎么说啊 ~ 2011-8-31 20:33 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 3 楼不是哦不是通过交换机来检测是在交换机补一个抓包的设备来抓取~ 2011-8-31 20:38 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 4 楼求指教啊~~ 2011-8-31 22:12 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 5 楼看雪的大牛们啊~~~ 2011-9-1 08:25 0
无泪城雪币： 193 活跃值： (64) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 246 粉丝 2 关注私信	无泪城 6 楼 Wireshark 设置条件 2011-9-1 08:37 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 7 楼设置Wireshark过滤条件，ip.addr == 木马发送数据的ip 2011-9-1 13:07 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 8 楼您好请问Wireshark是软件还是设备呢？假如是软件我怎么让才可以让这个工具抓取整个网络环境中的流量数据啊？小弟不是太懂请多指教哈~ 2011-9-1 14:57 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 9 楼可是我只知道局域网内有台机器中了木马具体是那台不清楚啊 2011-9-1 14:58 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 10 楼来大牛吧~~~ 2011-9-1 18:10 0
marryfaye 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	marryfaye 11 楼问题是定时反向连接的都是木马吗？？？ 2011-9-2 10:46 0
wuxiwudi 雪币： 927 活跃值： (1750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 12 楼可以设定条件，心跳包很小的，每天要固定向同一个IP发送，如果连续几天向同一个IP发送就是怀疑对象了，不知道现在还会不会自动获取主机的动态IP了 2011-9-2 15:07 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 647 粉丝 81 关注私信	obaby 20 13 楼这个方法不是十分现实，如果网络数据量太大的话。wireshark在开始一段时间后会因为磁盘空间不足而挂掉。另外检测心跳包的方式虽然可行，但是对于数据量大的复杂网络环境可操作性并不是十分好。如果想要抓取数据只需要将你的中断接到交换机的镜像端口上就可以捕获到所有的数据了。 2011-9-2 16:05 0
small鱼雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	small鱼 14 楼采用wireshark（是一个软件）不现实，如果你要自己写程序的可以采用winpcap的驱动，google可以搜索到很多，就是接收镜像数据的驱动，你自己可以开发代码，对接收的数据进行条件设置既可以，同时边处理边删除数据，或者全部数据都在内存中处理。 2011-9-2 16:32 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 15 楼这个不一定是但是我可以将定时连接的查出来然后进行分析啊这样可以将范围缩小 2011-9-4 22:53 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 16 楼我也是这么想的但是不知道有没有软件或者硬件可以实现因为要单纯的抓包话数据会很多不好分辨 2011-9-4 22:54 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 17 楼对啊我想的是有没有专门的设备可以做到设置规则抓取数据包然后分析但是我总感觉这个方法要是没这种工具或者设备的话实现有点困难数据太多了没法分析请问您还有其它的方法吗 2011-9-4 22:56 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 18 楼这个太困难的我的技术还不到家呢写不出来谢谢您哦~ 您还有其它能检测的方法吗？求指教~谢谢您了~ 2011-9-4 22:57 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 19 楼谢谢各位楼上的大牛们指教~ 小弟在此先感谢~ 然后求各位继续指教下~ 这个问题实在让我头疼~ 2011-9-4 23:01 0
木独猪雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	木独猪 20 楼同样遇到这种问题，局域网内N多毒，只要不拖慢网速，不影响正常运转，一律不去查，累， 2011-9-5 11:23 0
秦淮公子雪币： 247 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	秦淮公子 21 楼本机抓是抓不到的，你得在网关抓，或者用arp欺骗来抓，不过arp欺骗不稳定。网关抓的话，不会，可能有的路由提供抓包的功能。你问问搞网络的，怎么抓出口的包。 2011-9-5 11:31 0
UUMonkey 雪币： 36 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	UUMonkey 22 楼基于行为分析的木马检测虽然是在检测未知木马的有效途径，但很难做到精确，况且在实现是要考虑多个维度，比如说端口，ip，数据包内容，数据包大小，数据包间的关联性等等。建议还是要基于已有木马样本进行特征及行为的分析，在配合黑白名单机制，就应该效果不错了 2011-9-5 11:40 0
熙雅雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	熙雅 23 楼这个在交换机把流量镜像出来提取特征进行时时捕获心跳.. 2011-9-6 16:15 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 24 楼可是终端到交换机的流量很大的话那么几个心跳包如何才能准确的检测出来哦~ 2011-9-7 13:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

MeIsAce

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
fesfes 雪币： 115 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 135 粉丝 0 关注私信	fesfes 2 楼通过交换机来检测啊 ~ 这貌似很麻烦数据量这么大要么你只分析对外的ip 一般这样的木马平常的数据量不是很大的检测时候把数据量在缩小点还有一些木马的常用端口其他的就不太了解了具体什么设备什么的看看楼下的怎么说啊 ~ 2011-8-31 20:33 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 3 楼不是哦不是通过交换机来检测是在交换机补一个抓包的设备来抓取~ 2011-8-31 20:38 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 4 楼求指教啊~~ 2011-8-31 22:12 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 5 楼看雪的大牛们啊~~~ 2011-9-1 08:25 0
无泪城雪币： 193 活跃值： (64) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 246 粉丝 2 关注私信	无泪城 6 楼 Wireshark 设置条件 2011-9-1 08:37 0
hljleo 雪币： 564 活跃值： (42) 能力值： ( LV12，RANK：230 ) 在线值：发帖 13 回帖 130 粉丝 2 关注私信	hljleo 5 7 楼设置Wireshark过滤条件，ip.addr == 木马发送数据的ip 2011-9-1 13:07 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 8 楼您好请问Wireshark是软件还是设备呢？假如是软件我怎么让才可以让这个工具抓取整个网络环境中的流量数据啊？小弟不是太懂请多指教哈~ 2011-9-1 14:57 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 9 楼可是我只知道局域网内有台机器中了木马具体是那台不清楚啊 2011-9-1 14:58 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 10 楼来大牛吧~~~ 2011-9-1 18:10 0
marryfaye 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	marryfaye 11 楼问题是定时反向连接的都是木马吗？？？ 2011-9-2 10:46 0
wuxiwudi 雪币： 927 活跃值： (1750) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 173 粉丝 5 关注私信	wuxiwudi 12 楼可以设定条件，心跳包很小的，每天要固定向同一个IP发送，如果连续几天向同一个IP发送就是怀疑对象了，不知道现在还会不会自动获取主机的动态IP了 2011-9-2 15:07 0
obaby 雪币： 14983 活跃值： (5285) 能力值： ( LV15，RANK：880 ) 在线值：发帖 53 回帖 647 粉丝 81 关注私信	obaby 20 13 楼这个方法不是十分现实，如果网络数据量太大的话。wireshark在开始一段时间后会因为磁盘空间不足而挂掉。另外检测心跳包的方式虽然可行，但是对于数据量大的复杂网络环境可操作性并不是十分好。如果想要抓取数据只需要将你的中断接到交换机的镜像端口上就可以捕获到所有的数据了。 2011-9-2 16:05 0
small鱼雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	small鱼 14 楼采用wireshark（是一个软件）不现实，如果你要自己写程序的可以采用winpcap的驱动，google可以搜索到很多，就是接收镜像数据的驱动，你自己可以开发代码，对接收的数据进行条件设置既可以，同时边处理边删除数据，或者全部数据都在内存中处理。 2011-9-2 16:32 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 15 楼这个不一定是但是我可以将定时连接的查出来然后进行分析啊这样可以将范围缩小 2011-9-4 22:53 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 16 楼我也是这么想的但是不知道有没有软件或者硬件可以实现因为要单纯的抓包话数据会很多不好分辨 2011-9-4 22:54 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 17 楼对啊我想的是有没有专门的设备可以做到设置规则抓取数据包然后分析但是我总感觉这个方法要是没这种工具或者设备的话实现有点困难数据太多了没法分析请问您还有其它的方法吗 2011-9-4 22:56 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 18 楼这个太困难的我的技术还不到家呢写不出来谢谢您哦~ 您还有其它能检测的方法吗？求指教~谢谢您了~ 2011-9-4 22:57 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 19 楼谢谢各位楼上的大牛们指教~ 小弟在此先感谢~ 然后求各位继续指教下~ 这个问题实在让我头疼~ 2011-9-4 23:01 0
木独猪雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	木独猪 20 楼同样遇到这种问题，局域网内N多毒，只要不拖慢网速，不影响正常运转，一律不去查，累， 2011-9-5 11:23 0
秦淮公子雪币： 247 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 36 粉丝 0 关注私信	秦淮公子 21 楼本机抓是抓不到的，你得在网关抓，或者用arp欺骗来抓，不过arp欺骗不稳定。网关抓的话，不会，可能有的路由提供抓包的功能。你问问搞网络的，怎么抓出口的包。 2011-9-5 11:31 0
UUMonkey 雪币： 36 活跃值： (143) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 48 粉丝 0 关注私信	UUMonkey 22 楼基于行为分析的木马检测虽然是在检测未知木马的有效途径，但很难做到精确，况且在实现是要考虑多个维度，比如说端口，ip，数据包内容，数据包大小，数据包间的关联性等等。建议还是要基于已有木马样本进行特征及行为的分析，在配合黑白名单机制，就应该效果不错了 2011-9-5 11:40 0
熙雅雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	熙雅 23 楼这个在交换机把流量镜像出来提取特征进行时时捕获心跳.. 2011-9-6 16:15 0
MeIsAce 雪币： 160 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 92 粉丝 0 关注私信	MeIsAce 24 楼可是终端到交换机的流量很大的话那么几个心跳包如何才能准确的检测出来哦~ 2011-9-7 13:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复