木马-检测 实验-提点

测试能否ping通彼此（关闭防火墙）
控制端：192.168.137.130
被控端：192.168.137.131

低头啦。快录制一个晚上啦。结果总是出错误~
按照文档一步一步做，有一个是加入环境变量。如下
%SystemRoot%system32;%SystemRoot%;%SystemRoot%System32Wbem;C:Program FilesMySQLMySQL Server 5.5in;C:Snortin
最后一个就是咱们加入的。
还有
snort -c "c:snortetcsnort.conf" -l "c:snortlog" -i 2 -d -e （这个命令，有坑的。）
snort -W 可以查看网卡
所以-i后面跟1才有意义！

先测试，第一个。出现啦

接下来进行木马测试，挑一个我已经实现过得~
选中火狐！OK说明已经被控制啦！在被控端打开wireshark抓包，local-start
刚才木马没啦，重新放进去一次。

如何抓去分析：
等到数据不怎么进行更新的时候，在控制端进行一些文件操作，就会看到有新的数据包产生！

看了两次，“8b4ca58172880bbb”重复出现好多次，我们就可以利用这个作为识别木马的条件！
alert tcp any any -> any any (content:"58172880bbb";msg: "HuiceshiGeZi packet detected!";sid:222;)

演示结束！