首页
社区
课程
招聘
[旧帖] [求助]高手进来帮我分析下这几个包。 0.00雪花
发表于: 2012-3-27 19:31 2394

[旧帖] [求助]高手进来帮我分析下这几个包。 0.00雪花

2012-3-27 19:31
2394
购买了一款NET工具,但给人留了后门,一直找不出原因,只要哪个人一连接到工具的端口,好象是发送一条特殊的指令,使工具与数据库创建了100多个连接,导致数据库繁忙,工具数据无法写进数据库。

我今天用抓包工具,把他连接进来后发的包给抓下来了,全过程,大侠帮忙分析下。  

前面几张图可能是他连接进来后抓下的包,真正发送特殊指令的可能是后面的几张图。


























[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 615
活跃值: (172)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
2
兄弟,你这是什么软件来着,你也给个描述的啊?一般数据包都是加过密的肉眼看不出来的..
2012-3-27 20:38
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
那怎么办?.....
2012-3-27 20:55
0
雪    币: 615
活跃值: (172)
能力值: ( LV9,RANK:140 )
在线值:
发帖
回帖
粉丝
4
后门的话一般都会绑定一个固定端口,UDP或TCP协议都可以使用bind()来绑定本地特定端口。
你可以使用工具查看一下是哪个端口,然后给程序打个补丁,可以修改那个端口或者把接收指令
的处理过程给nop掉。
2012-3-27 22:32
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
哪个端口是对外开放的,经常接收客户端发来的包。

他就是通过这样一个端口,而且这个端口是不能去掉的。
2012-3-28 21:34
0
雪    币: 21
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
看不出来,说明一下
2012-3-29 12:07
0
雪    币: 7
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
看不懂,坐等高手出现!!
2012-3-29 13:32
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
晕,要说明什么?
2012-3-29 18:17
0
雪    币: 43
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
还是发你那个程序上来看看,让大牛们帮你分析封包加密的算法吧
2012-3-29 18:42
0
游客
登录 | 注册 方可回帖
返回
//