几个网络捕获工具的评价 by 拉登兄弟
近期在写个CMD远控 写着写着 想在服务端上做点手脚
都知道杀软误报 特别是黑软大部分都报毒 但实际上是正常的
对此可能部分人并不装杀软 基本上靠自己分析软件是否安全
1 低级点的 用相关工具 检測不能真的全然保证程序无毒 也没啥技术含量
原因是 可能你正在检測时 后门没激活(比方 我设置晚上12点才向外连接等)
你在白天或其他时间检測我的工具 可能没发现不论什么异常 晚上你开工具做事的时候
后门也跟着激活了 哈哈 这方法 实际中还真有人这么看 曾经某个木马
检測到当前机器是2003的话 就往作者邮箱发送一些server相关信息 供他黑吃黑
2 高级的 自己破解 脱壳 反编译程序 直接杀进去分析代码
软件调用什么函数 做了什么事情 全都一目了然 分析结果也会比較准确 也有技术
这样也比較浪费时间 就算会 一般也不会 常常这样到处在分析 (病毒分析师除外)
如今我想在服务端上做点手脚 躲过 经常使用抓包工具 由于要用到几个抓包工具
所以 顺便对照做个评測 给不太了解抓包工具的 參考參考 有错的地方 请大牛指正
部分 工具能够到 E:CrAcK8工具包2012安全检測 里面找到
1 MiniSinffer
长处:1 单文件绿色版能够监控到全部流量信息
2 能够在 对測试体 执行前 开启抓包工具
3 用skype给同事 传个几G的文件 照样抓出一堆包
缺点:1 不能仅仅对指定进程(太多包的话 不易分析)
2 抓WEB包时显示为UDP(就是网交提交 POST GET那些)
在測试中 停止监听 在又一次执行后 WEB包就抓不到了
2 WSExplorer 1.3.exe
长处: 1 单文件绿色版 带着方便 也不用安装
2 不用Wincap支持
3 能够仅仅抓指定进程 ((渗透)比方上传文件 (破解)看软件运行某个操作后向外发了什么)
4 兼容性也不错 支持 WIN7 2008等系统
缺点: 1 对于大量数据的包 软件就崩溃卡死
(用skype给同事 传个几G的文件 立刻白屏)
2 仅仅能先执行 測试体后 刷新列表进程 才干进行抓包
3 有时抓包时 好像突然会卡住
測试体执行前后 再抓包差别非常大
3 WSockExpert_Cn(捉包)
长处: 1 绿色版 不用安装 解压就能够使用
2 不用Wincap支持
3 能够仅仅抓指定进程 ((渗透)比方上传文件 (破解)看软件运行某个操作后向外发了什么)
缺点: 1 仅仅能先执行 測试体后 刷新列表进程 才干进行抓包
2 兼容性不太好 不支持vista或WIN7等以上系统
4 那个什么iris eeye组织的作品 呵呵10还是以09年那时由于鬼影的MBR
我找了些资料 发如今05年之前他们公布了相关bookit研究资料(MBR当中之中的一个)
长处:1 可对网卡进行抓包 有过滤机制
2 可先抓包 再执行 測试体
3 功能也非常多 eeye组织的作品不会差到哪去
(仅仅是今天刚好在我虚拟机里没法执行 没能得对功能红看 仅仅是凭之前以前使用过的一点因像)
缺点:1 要Wincap支持 有些管理员做了限制 没法安装Wincap
5 iptool网络抓包分析工具
长处:1 能够对网卡进行捕获 能够通过多种规则进行过滤 比方说 IP 协议(仅仅抓ARP 还是SMTP 还是其他一起)
2 同一时候显示包的几个形式 查看和分析包也比較方便
3 可先抓包 再执行 測试体
4 还能够依据指定内容 查找包
5 兼容性也不错 支持win7 2008等
6 不用安装wincap
缺点: 1 不能仅仅抓指定进程
2 要Wincap支持 有些管理员做了限制 没法安装Wincap
6 sniffer pro(网络抓包工具)
没用过 可能以前以前安装过 见软件太大了 最重要是安装后 还缺啥环境执行不了
所以一直以为基本上都没用这个
总结 1 国产的Iptool 综合性能不错
2 IRIS也不错 国外EEYE组织的 只是我非常少用
只是并非由于软件是英文的 而是由于可能之前抓包
大部分用于WEB抓包 或指定操作抓包 基本上都选了支持抓指定进程的工具
3 上面两款能够说是 大炮 WSockExpert WSockExpert 等这些就是小米加步枪了
但他们也有不能忽略的长处 就是均支持 指定进程抓包 这对于渗透 或者抓取指定工具
操作时 向外提交了什么包非常方便分析 比方说 阿D注入工具 扫描时 提交了什么SQL语句等
4 上面的抓包工具 各有优点和缺点 请根据自己的实际应用 选择哪一个 提高效能
近期在写个CMD远控 写着写着 想在服务端上做点手脚
都知道杀软误报 特别是黑软大部分都报毒 但实际上是正常的
对此可能部分人并不装杀软 基本上靠自己分析软件是否安全
1 低级点的 用相关工具 检測不能真的全然保证程序无毒 也没啥技术含量
原因是 可能你正在检測时 后门没激活(比方 我设置晚上12点才向外连接等)
你在白天或其他时间检測我的工具 可能没发现不论什么异常 晚上你开工具做事的时候
后门也跟着激活了 哈哈 这方法 实际中还真有人这么看 曾经某个木马
检測到当前机器是2003的话 就往作者邮箱发送一些server相关信息 供他黑吃黑
2 高级的 自己破解 脱壳 反编译程序 直接杀进去分析代码
软件调用什么函数 做了什么事情 全都一目了然 分析结果也会比較准确 也有技术
这样也比較浪费时间 就算会 一般也不会 常常这样到处在分析 (病毒分析师除外)
如今我想在服务端上做点手脚 躲过 经常使用抓包工具 由于要用到几个抓包工具
所以 顺便对照做个评測 给不太了解抓包工具的 參考參考 有错的地方 请大牛指正
部分 工具能够到 E:CrAcK8工具包2012安全检測 里面找到
1 MiniSinffer
长处:1 单文件绿色版能够监控到全部流量信息
2 能够在 对測试体 执行前 开启抓包工具
3 用skype给同事 传个几G的文件 照样抓出一堆包
缺点:1 不能仅仅对指定进程(太多包的话 不易分析)
2 抓WEB包时显示为UDP(就是网交提交 POST GET那些)
在測试中 停止监听 在又一次执行后 WEB包就抓不到了
2 WSExplorer 1.3.exe
长处: 1 单文件绿色版 带着方便 也不用安装
2 不用Wincap支持
3 能够仅仅抓指定进程 ((渗透)比方上传文件 (破解)看软件运行某个操作后向外发了什么)
4 兼容性也不错 支持 WIN7 2008等系统
缺点: 1 对于大量数据的包 软件就崩溃卡死
(用skype给同事 传个几G的文件 立刻白屏)
2 仅仅能先执行 測试体后 刷新列表进程 才干进行抓包
3 有时抓包时 好像突然会卡住
測试体执行前后 再抓包差别非常大
3 WSockExpert_Cn(捉包)
长处: 1 绿色版 不用安装 解压就能够使用
2 不用Wincap支持
3 能够仅仅抓指定进程 ((渗透)比方上传文件 (破解)看软件运行某个操作后向外发了什么)
缺点: 1 仅仅能先执行 測试体后 刷新列表进程 才干进行抓包
2 兼容性不太好 不支持vista或WIN7等以上系统
4 那个什么iris eeye组织的作品 呵呵10还是以09年那时由于鬼影的MBR
我找了些资料 发如今05年之前他们公布了相关bookit研究资料(MBR当中之中的一个)
长处:1 可对网卡进行抓包 有过滤机制
2 可先抓包 再执行 測试体
3 功能也非常多 eeye组织的作品不会差到哪去
(仅仅是今天刚好在我虚拟机里没法执行 没能得对功能红看 仅仅是凭之前以前使用过的一点因像)
缺点:1 要Wincap支持 有些管理员做了限制 没法安装Wincap
5 iptool网络抓包分析工具
长处:1 能够对网卡进行捕获 能够通过多种规则进行过滤 比方说 IP 协议(仅仅抓ARP 还是SMTP 还是其他一起)
2 同一时候显示包的几个形式 查看和分析包也比較方便
3 可先抓包 再执行 測试体
4 还能够依据指定内容 查找包
5 兼容性也不错 支持win7 2008等
6 不用安装wincap
缺点: 1 不能仅仅抓指定进程
2 要Wincap支持 有些管理员做了限制 没法安装Wincap
6 sniffer pro(网络抓包工具)
没用过 可能以前以前安装过 见软件太大了 最重要是安装后 还缺啥环境执行不了
所以一直以为基本上都没用这个
总结 1 国产的Iptool 综合性能不错
2 IRIS也不错 国外EEYE组织的 只是我非常少用
只是并非由于软件是英文的 而是由于可能之前抓包
大部分用于WEB抓包 或指定操作抓包 基本上都选了支持抓指定进程的工具
3 上面两款能够说是 大炮 WSockExpert WSockExpert 等这些就是小米加步枪了
但他们也有不能忽略的长处 就是均支持 指定进程抓包 这对于渗透 或者抓取指定工具
操作时 向外提交了什么包非常方便分析 比方说 阿D注入工具 扫描时 提交了什么SQL语句等
4 上面的抓包工具 各有优点和缺点 请根据自己的实际应用 选择哪一个 提高效能
版权声明:本文博客原创文章。博客,未经同意,不得转载。