[求助]高手进来帮我分析下这几个包。-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [求助]高手进来帮我分析下这几个包。 0.00雪花

发表于: 2012-3-27 19:31 2392

[旧帖] [求助]高手进来帮我分析下这几个包。 0.00雪花

汇编学徒

2012-3-27 19:31

2392

购买了一款NET工具，但给人留了后门，一直找不出原因，只要哪个人一连接到工具的端口，好象是发送一条特殊的指令，使工具与数据库创建了100多个连接，导致数据库繁忙，工具数据无法写进数据库。

我今天用抓包工具，把他连接进来后发的包给抓下来了，全过程，大侠帮忙分析下。

前面几张图可能是他连接进来后抓下的包，真正发送特殊指令的可能是后面的几张图。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

1.jpg （24.45kb，77次下载）
2.jpg （24.99kb，77次下载）
3.jpg （22.88kb，77次下载）
4.jpg （20.57kb，77次下载）
5.jpg （127.99kb，77次下载）
6.jpg （25.05kb，75次下载）
7.jpg （22.65kb，76次下载）
8.jpg （31.57kb，76次下载）
9.jpg （42.98kb，75次下载）
10.jpg （133.96kb，77次下载）
11.jpg （126.64kb，77次下载）
12.jpg （21.92kb，77次下载）
13.jpg （131.11kb，79次下载）
14.jpg （47.46kb，76次下载）
15.jpg （18.95kb，76次下载）
16.jpg （129.98kb，76次下载）
17.jpg （127.47kb，75次下载）
18.jpg （17.32kb，73次下载）
19.jpg （123.26kb，72次下载）
20.jpg （17.77kb，71次下载）
21.jpg （44.41kb，71次下载）
22.jpg （17.89kb，71次下载）
23.jpg （22.22kb，72次下载）
24.jpg （18.49kb，70次下载）
25.jpg （21.13kb，71次下载）

收藏・0

免费・0

支持

最新回复 (8)
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 2 楼兄弟，你这是什么软件来着，你也给个描述的啊？一般数据包都是加过密的肉眼看不出来的.. 2012-3-27 20:38 0
汇编学徒雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	汇编学徒 3 楼那怎么办？..... 2012-3-27 20:55 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 4 楼后门的话一般都会绑定一个固定端口，UDP或TCP协议都可以使用bind()来绑定本地特定端口。你可以使用工具查看一下是哪个端口，然后给程序打个补丁，可以修改那个端口或者把接收指令的处理过程给nop掉。 2012-3-27 22:32 0
汇编学徒雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	汇编学徒 5 楼哪个端口是对外开放的，经常接收客户端发来的包。他就是通过这样一个端口，而且这个端口是不能去掉的。 2012-3-28 21:34 0
pjianjian 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	pjianjian 6 楼看不出来，说明一下 2012-3-29 12:07 0
miaomiaowa 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	miaomiaowa 7 楼看不懂，坐等高手出现！！ 2012-3-29 13:32 0
汇编学徒雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	汇编学徒 8 楼晕，要说明什么？ 2012-3-29 18:17 0
秋思梦缘雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	秋思梦缘 9 楼还是发你那个程序上来看看，让大牛们帮你分析封包加密的算法吧 2012-3-29 18:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

汇编学徒

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 2 楼兄弟，你这是什么软件来着，你也给个描述的啊？一般数据包都是加过密的肉眼看不出来的.. 2012-3-27 20:38 0
汇编学徒雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	汇编学徒 3 楼那怎么办？..... 2012-3-27 20:55 0
小覃雪币： 615 活跃值： (172) 能力值： ( LV9，RANK：140 ) 在线值：发帖 19 回帖 553 粉丝 4 关注私信	小覃 2 4 楼后门的话一般都会绑定一个固定端口，UDP或TCP协议都可以使用bind()来绑定本地特定端口。你可以使用工具查看一下是哪个端口，然后给程序打个补丁，可以修改那个端口或者把接收指令的处理过程给nop掉。 2012-3-27 22:32 0
汇编学徒雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	汇编学徒 5 楼哪个端口是对外开放的，经常接收客户端发来的包。他就是通过这样一个端口，而且这个端口是不能去掉的。 2012-3-28 21:34 0
pjianjian 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	pjianjian 6 楼看不出来，说明一下 2012-3-29 12:07 0
miaomiaowa 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 82 粉丝 0 关注私信	miaomiaowa 7 楼看不懂，坐等高手出现！！ 2012-3-29 13:32 0
汇编学徒雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	汇编学徒 8 楼晕，要说明什么？ 2012-3-29 18:17 0
秋思梦缘雪币： 43 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 20 粉丝 0 关注私信	秋思梦缘 9 楼还是发你那个程序上来看看，让大牛们帮你分析封包加密的算法吧 2012-3-29 18:42 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复