上兴远控流量分析报告

最新推荐文章于 2025-09-30 11:21:02 发布
原创 最新推荐文章于 2025-09-30 11:21:02 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

博客介绍了远控木马的使用方法,包括在生成页面设置ip、端口生成木马,设置监听端口,等待受控靶机运行木马上线。同时给出检测方案,如检测心跳包、统计上下行流量、PSH和SYN标志包占比,以及关注连接时的TCP包和数据传递是否为明文等。

使用方法

1.在生成页面设置ip、端口,然后生成木马

1.png
2.设置监听端口

2.png
3.等待受控靶机运行木马即可上线

3.png

检测方案

1.检测心跳包,时间间隔为120秒(可变)
2.上行流量大于下行流量
上行数据包统计

image.png
下行数据包统计

image.png
3.统计PSH标志包和SYN标志包占比
数据包总数831,PSH标志包总数831,占比100%

image.png
数据包总数831,SYN标志包总数831,占比100%

image.png
4.建立连接时,会产生一个TCP包铭文传递信息

4.png
5.当被远控木马控制时,数据传递为明文
执行netstat -ano 时的数据包

5.png
返回的数据包

6.png

兴远制 这是一款优质的远程制软件
03-05
兴远制5.0版说明: 专业超级远程制,超强的管理功能,适用于电脑爱好者、家庭、学校、公司、单位远程管理计算机! ------------------------------------------------------------------------------------------ 5.0版的特性: 服务端不用释放文件,不用生成DLL文件,无驱动。 服务端不但能插入IE进程穿防火墙,又可选随意插系统目录的文件; 屏幕高速传输,CPU只占用10-30%,网络传输最高达到每秒20帧; 服务,注册表,进程,CMD管理完全模似操作系统,象操作自已的电脑一样; 超级记录有数据包捕获,内存捕获,键盘英文输入捕获; 批量命令有DDos攻击,代理、发送窗口、字幕等功能; ------------------------------------------------------------------------------------------------------------------ 更新日志: 增加声音保存 增加自定标识 更新进程监 更新服务端 ..... 5.0不兼容之前所有版本,请独立使用 ------------------------------------------------------------------------------------------------------------------ 软件使用环境: Windows XP/Win2000/Win2003/WIN7版本下,不能在Windows9X下使用 CPU:Pentium 350以上,内存:128MB以上, 磁盘空间1G以上, 56K以上调制解调器/ADSL/Cable modem或其它宽带网络 ------------------------------------------------------------------------------------------------------------------ 安装包说明: configure文件夹:历史配置记录; ICO文件夹:几个常用ICO图标,服务端更改图标时可选择; Server文件夹:原始服务端放置在Server文件夹(注:Server文件夹必须要与主程序同一目录下!原始服务端*.Dat不能重命名!); skins文件夹:放置皮肤文件; sound:放置上下线提示声音文件; QQWry.Dat:IP数据库纯真精简版(www.cz88.net),请定期更新最新的IP数据库; Help.chm:CHM帮助文档; 以上文件(文件夹)必须要与主程序rejoice.exe同一目录下。 注意:如果你使用不是官方版本被捆了其它程序或安装了网站过滤软件造成官方网站不能登陆更新软件,后果自负! ------------------------------------------------------------------------------------------------------------------ 免责声明: 如果您需要使用本软件,则必须无条件同意以下所列举的所有声明款项: 上兴远是提供给使用者管理个人电脑或企业管理员工电脑之用,在安装服务端前请先征询该电脑使用者的同意。 凡是将本软件用于非法用途的,由使用者承担由此带来的一切损失和后果,作者无需负任何责任。 软件开发:上 QQ:7698705 QQ:1855254 软件主页:WWW.98exe.com ------------------------------------------------------------------------------------------ 最新常见问题: ------------------------------------------------------------------------------------------ 3、为什么上线速度很慢? 你可以跟据你的网速设置上线监听线程,在设置-系统设置中设置监听连接线程数,设越大就越快。 ------------------------------------------------------------------------------------------ 4、为什么显示对方有视频可我怎也看不对方? 显示对方有视频是跟据对方是否安装有视频驱动判断的,如何对方没有插USB是打不开视频的; 如何对方在使用视频中也不能打开视频的,只能从进程管理结束视频的进程再连接; 另一个是服务端假死了,你可重启服务端重新开对方视频。 ------------------------------------------------------------------------------------------ 5、为什么会显示不能打开端口? 1、可能端口被其它程序占用,你可以更改一下默认端口,如使用DNS上线不能更改,就关掉占用端口的程序,也可以重启电脑; 2、关闭防火墙或设置防火墙充许你设置的上线端口。 --------------------------------------------------- 6、为什么打开制端会连接一个IP的80端口? 答:查找升级,找到会提示升级,如不想要升级提示,‘设置’下拉在‘升级提示’选项去勾! ------------------------------------------------------------------------------------------ 7、为什么我有时全部会'连接超时'? 答:按Esc或重启客户端能解决 ------------------------------------------------------------------------------------------ 8、为什看到对方屏幕是白屏的? 答:1、系统处于锁定或未登陆桌面(多数是2000、2003服务器版的系统) 2、处于屏幕保护桌面,这时候要将当前桌面切换。 这个只能重新启动一下服务端或重启对方主机。 ------------------------------------------------------------------------------------------ 9、为什么打开制端就出现错误? 答:1、这前以经打开了一个制端,再打开多个制端可能会产生错误。 2、打开制端就要打开默认端口,有的防火墙会阻止,因此产生错误。 ------------------------------------------------------------------------------------------ 10、为什么打开制端上线机器不显示地区? 答:1、IP数据库QQWry.Dat被删除或毁坏了,到官方下载或从QQ目录复制一个到制端目录下。 2、打开制端没有成功打开IP数据库或读取出错,可以重启制端再试。 ------------------------------------------------------------------------------------------ 一、为什么我配置正确并运行服务端后没有上线? 答:问题出现有几种可能: 1、你在内网中、网吧使用,必须进入路由映射端口,或使用端口映射工具,或使用收费动态解析 2、XPSP2系统自带防火墙或其它类型防火墙,客户端不能打开端口监听服务端上线 3、配置服务端的端口要和制端监听端口一致 4、没有更新ip到FTP或没打开动态域名解析客户端 6、服务端运行后被杀毒查杀了。 ------------------------------------------------------------------------------------------ 二、肉鸡为什么上线后制一会后就下线不见了? 答:1、网速慢或不正常,有时很慢或掉线。 2、制端出错,在文件下拉点击重启客启端,或关闭重新运行制端。 3、由于服务端插入IE启动,系统出错或被对方终止了IE进程,但对方重启后还能再上线 4、使用DDOS功能或多文件下载不适度当会造成对方掉线 5、对方安装的是新版主动杀毒,监视CMD,注册表等,一但管理,对方杀毒就会提示并结束服务端运行 6、服务端被杀毒查杀了 ------------------------------------------------------------------------------------------ 三、为什么第二天上网后,肉鸡一个都没上线? 答:问题出现有几种可能: 1、拨号上网,动态IP的用户第二天上网后IP会变的,所以必需再次更新IP到FTP或DNS域名。 2、安装服务名与其它相同服务名复盖或冲突(最好自定义安装服务名)。 3、服务端被杀毒查杀了。 ------------------------------------------------------------------------------------------ 四、怎样申请域名或FTP空间啊? 答:打开 http://www.hao123.com 搜索'DNS域名解析' '虚似主机' 你会找到很多服务商。 ------------------------------------------------------------------------------------------ 五、为什么使用某些功能时对方会掉线? 答:默认安装的XpSP2系统自带防火墙,并限制了连接, 如你进行DDOS攻击或同时操作N个管理功能,有可能对方会掉线。 ------------------------------------------------------------------------------------------ 六、这个软件有后门或捆绑木马吗? 答:没有!刚入门无基础的朋友最好到官方网站下载,最好在相关技术人员指导下使用。 1、本软件各种功能真实可靠,不属于欺骗性质的假软件。 2、本软件作者不是低能儿,抓肉鸡无须在自已的劳动成果里放马害自已。 3、本软件生成服务端运行只有一个EXE程序,不释放其它可执行程序; 4、本软件不提供专用上线,所以作者在用户使用后无法制用户的肉鸡; 5、本软件是远程制,有的朋友下载后回去配置后捆绑其它程序或图片的方法抓鸡,是很正常的, 所以,使用此类工具的朋友要注意自身安全。 ------------------------------------------------------------------------------------------ 七、运行服务端没上线,怎样手工删除? 答:用三方工具终止插入的进程, 再进入服务管理删除服务项, 最后进入 C:\Program Files\Common Files\Microsoft Shared\MSInfo\ C:\WINDOWS C:\WINDOWS\system32 删除文件。 ------------------------------------------------------------------------------------------ 八、我是内网怎样上线? 答:进入路由映射端口或申请内网域名解析,或者用VIDC等工具用跳板进行端口映射。 ------------------------------------------------------------------------------------------ 九、购买注册vip版有什么好处? 答:能够支持作者继续开发;一年提供免杀升级,技术支持,功能更多 。 ------------------------------------------------------------------------------------------ 十、键盘记录功能记录各大银行密码吗? 答:不能。 ------------------------------------------------------------------------------------------ 十一、为什么我下载了新版有的功能不能正常使用? 答:必须要重新配置安装服务端,只要换一个安装名和服务名,运行上线后再删了旧的版本。
兴远制2014
08-29
一款国内特别流行的远程制软件!可以穿透内网,自行免杀!版本更新时间为2014!
木马手工查杀和隐藏制技术分析
weixin_30813225的博客
10-29 186
实验条件: 上兴远、comodo防火墙、360安全卫士 step1.生成木马 step2.关闭360安全卫士、comodo防火墙。使用木马感染靶机后,靶机并无明显异常 开启windows任务管理器,并无明显中毒特征,cpu使用率和内存占用率并无明显异常。 使用netstat/an命令查看系统端口连接,无明显异常 step2.采用COMODO防火墙安全软件k...
【黑客教程】利用木马远程制目标手机
最新发布
2302_76672693的博客
09-30 845
通过对手机木马文件对手机的植入,我们可以成功的对手机进行制,其中包括对手机使用者进行录音、拍照、查看下载手机私密文件,获取手机网络信息,进程信息等。实现对手机的完全制。本文简单介绍如何将木马文件绑定到正常app实现对受害者攻击,其实还有很多办法,如通过中间人、钓鱼实现木马植入等。功能太多,不一一演示,其中还包括照相、监听电话声音、查看通讯录、发送短信等等一些功能,等于自己手机咯都不用买手机。
兴远
05-20
兴远制工具
兴远制软件
11-10
兴远制软件,亲好用!
兴远制使用及分析
dixunzhong8774的博客
11-08 2832
一、上兴远制使用试 本次实验是在win XP SP3的虚拟机上完成的。 1.1 木马的生成 这个软件的主要原理就是生成一个木马,并将这个木马伪装成一个正常的安装包,当有人点开它之后,它可以伪装成进程,服务避免杀毒软件的查杀,下图是它的生成界面。 可以看到几个特征: 1)需要输入本机的准确IP地址和上线端口号,确定制信息的回传 2)可以选择木马的运行方式,以及生成程序是否加壳,加...
5.3 上兴远
robacco的博客
09-23 2057
兴远VIP版.zip
10-31
"上兴远VIP版.zip" 是一个包含远程制软件"上兴远"的VIP版本的缩包。这个软件允许用户通过网络对远程计算机进行制、管理和监,适用于技术支持、远程办公等多种场景。让我们详细了解一下这个软件及其相关...
兴远2013
04-23
【上兴远2013】是一款专为电脑爱好者、家庭、学校、公司和单位设计的专业级远程制软件。这款软件在2013年发布,提供了强大的远程管理功能,使得用户能够轻松地对远程计算机进行操和管理。下面我们将深入探讨这...
兴远
02-05
兴远
兴远 .
11-13
.. .
最新远程免费
10-27
最新版本 免费版的 好用简单上手 多加了一些功能 菜鸟轻松掌握
兴远2012
07-14
兴远制2012: 专业超级远程制,超强的管理功能,适用于电脑爱好者、家庭、学校、公司、单位远程管理计算机! -----------------------------------------------------------------------------------------...
兴远2013sp2
11-20
【上兴远2013SP2】是一款远程制软件的更新版本,专注于提供安全、免费且实用的远程访问解决方案。在IT行业中,远程制软件是不可或缺的工具,尤其对于技术支持、远程办公以及系统管理等领域。上兴远2013SP2的...
关于一款远木马的简单分析
followingturing 追随图灵的路上...
08-24 7266
其实很多朋友都不明白木马是如何简简单单的窃取了你的帐号密码乃至你的网银帐号,趁其你使用网银U盾还没有拔下来,直接操纵你的计算机进行转账,或者更高级的在你转账之时修改网页内容,甚至在你不知不觉中开启你计算机的摄像头,对你进行一个全方位360度兼后空翻720度的监。 下面我以一款木马作为实例为大家做一个简单的分析。 这是一款体积非常小的制软件,并且它还具备着较强的穿透防火墙和杀毒软件的主动防御
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值