使用方法

---

1.在創(chuàng)建客戶頁面設(shè)置IP、端口，生成木馬

2.在刷新IP頁面設(shè)置監(jiān)聽I(yíng)P和監(jiān)聽端口

3.等待受控靶機(jī)運(yùn)行木馬即可上線

---

檢測(cè)方案

---

1.檢測(cè)心跳包，此工具的心跳包包括TCP協(xié)議和HTTP協(xié)議，時(shí)間間隔為50秒
2.當(dāng)遠(yuǎn)控工具產(chǎn)生交互行為時(shí)，上行流量會(huì)大于下行流量
上行數(shù)據(jù)包統(tǒng)計(jì)：

下行數(shù)據(jù)包統(tǒng)計(jì)：

3.PSH標(biāo)志包和SYN標(biāo)志包占比增加
PSH標(biāo)志包總數(shù)為916，占100%

SYN標(biāo)志包總數(shù)為916，占100%

4.數(shù)據(jù)交互時(shí)，會(huì)產(chǎn)生特征字段。
發(fā)送desktop.ini文件所在路徑。desktop.ini文件常見于病毒木馬在運(yùn)行時(shí)創(chuàng)建的文件，即正常行為不會(huì)產(chǎn)生。

發(fā)送shell32.dll的文件路徑

HTTP心跳包攜帶特征字段，特征字段為PO ST /年/月日/xxx xxx/xxxxxxx.jsp