对几款网络抓包工具的评测
- 对几款网络抓包工具的评测
-
对几款网络抓包工具的评测 by 拉登哥哥
最近在写个CMD远控 写着写着 想在服务端上做点手脚
都知道杀软误报 特别是黑软大部分都报毒 但实际上是正常的
对此可能部分人并不装杀软 基本上靠自己分析软件是否安全1 低级点的 用相关工具 检测不能真的完全保证程序无毒 也没啥技术含量
原因是 可能你正在检测时 后门没激活(比如 我设置晚上12点才向外连接等)
你在白天或其它时间检测我的工具 可能没发现任何异常 晚上你开工具做事的时候
后门也跟着激活了 哈哈 这方法 实际中还真有人这么看 以前某个木马
检测到当前机器是2003的话 就往作者邮箱发送一些服务器相关信息 供他黑吃黑2 高级的 自己破解 脱壳 反编译程序 直接杀进去分析代码
软件调用什么函数 做了什么事情 全都一目了然 分析结果也会比较准确 也有技术
这样也比较浪费时间 就算会 一般也不会 经常这样到处在分析 (病毒分析师除外)现在我想在服务端上做点手脚 躲过 常用抓包工具 因为要用到几个抓包工具
所以 顺便对比做个评测 给不太了解抓包工具的 参考参考 有错的地方 请大牛指正部分 工具可以到 E:\CrAcK8工具包2012\安全检测 里面找到
1 MiniSinffer
优点:1 单文件绿色版可以监控到所有流量信息
2 可以在 对测试体 运行前 开启抓包工具
3 用skype给同事 传个几G的文件 照样抓出一堆包
缺点:1 不能只对指定进程(太多包的话 不易分析)
2 抓WEB包时显示为UDP(就是网交提交 POST GET那些)
在测试中 停止监听 在重新运行后 WEB包就抓不到了2 WSExplorer 1.3.exe
优点: 1 单文件绿色版 带着方便 也不用安装
2 不用Wincap支持
3 可以只抓指定进程 ((渗透)比如上传文件 (破解)看软件执行某个操作后向外发了什么)
4 兼容性也不错 支持 WIN7 2008等系统缺点: 1 对于大量数据的包 软件就崩溃卡死
(用skype给同事 传个几G的文件 立马白屏)
2 只能先运行 测试体后 刷新列表进程 才能进行抓包
3 有时抓包时 好像突然会卡住
测试体运行前后 再抓包区别很大
3 WSockExpert_Cn(捉包)
优点: 1 绿色版 不用安装 解压就可以使用
2 不用Wincap支持
3 可以只抓指定进程 ((渗透)比如上传文件 (破解)看软件执行某个操作后向外发了什么)缺点: 1 只能先运行 测试体后 刷新列表进程 才能进行抓包
2 兼容性不太好 不支持vista或WIN7等以上系统4 那个什么iris eeye组织的作品 呵呵10还是以09年那时因为鬼影的MBR
我找了些资料 发现在05年之前他们发布了相关bookit研究资料(MBR其中之一)优点:1 可对网卡进行抓包 有过滤机制
2 可先抓包 再运行 测试体
3 功能也很多 eeye组织的作品不会差到哪去
(只是今天刚好在我虚拟机里没法运行 没能得对功能红看 只是凭之前曾经使用过的一点因像)
缺点:1 要Wincap支持 有些管理员做了限制 没法安装Wincap
5 iptool网络抓包分析工具
优点:1 可以对网卡进行捕获 可以通过多种规则进行过滤 比如说 IP 协议(只抓ARP 还是SMTP 还是其它一起)
2 同时显示包的几个形式 查看和分析包也比较方便
3 可先抓包 再运行 测试体
4 还可以根据指定内容 查找包
5 兼容性也不错 支持win7 2008等
6 不用安装wincap缺点: 1 不能只抓指定进程
2 要Wincap支持 有些管理员做了限制 没法安装Wincap6 sniffer pro(网络抓包工具)
没用过 可能以前曾经安装过 见软件太大了 最重要是安装后 还缺啥环境运行不了
所以一直以为基本上都没用这个总结 1 国产的Iptool 综合性能不错
2 IRIS也不错 国外EEYE组织的 不过我很少用
不过并不是因为软件是英文的 而是因为可能之前抓包
大部分用于WEB抓包 或指定操作抓包 基本上都选了支持抓指定进程的工具3 上面两款可以说是 大炮 WSockExpert WSockExpert 等这些就是小米加步枪了
但他们也有不能忽略的优点 就是均支持 指定进程抓包 这对于渗透 或者抓取指定工具
操作时 向外提交了什么包很方便分析 比如说 阿D注入工具 扫描时 提交了什么SQL语句等4 上面的抓包工具 各有优缺点 请根据自己的实际应用情况 来选择使用哪款 提高工作效力