wireshark

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。这篇文章将带着大家来学习《Windows黑客编程技术详解》，其作者是甘迪文老师，推荐大家购买来学习。作者将采用实际编程和图文结合的方式进行分享，并且会进一步补充知识点。第四篇文章主要介绍木马病毒自启动技术，包括注册表、快速启动目录、计划任务和系统服务，希望对您有所帮助。 对于一个病毒木马来说，重要的不仅是如何进行破坏，还有如何执行。同样，如何开始也非常重要，病毒木马只有加载到内存中开始运行，才能真正体现出它的破坏力。否则，它只是一个普通的磁盘文件，对于计算机用户的数据、隐私构不成任何威胁。 即使成功植入模块并启动攻击模块，依然不能解决永生驻留的问题（持久性攻击）。解决永生驻留的第一步便是如何实现伴随系统启动而启动的问题，即 开机自启动 。这样，即使用户关机重启，病毒木马也随着系统的启动，而由系统加载到内存中运行，从而窃取用户数据和隐私。因此，开机自启动技术是病毒木马至关重要的技术，也是杀软重点监测的技术。对于杀软来说，只要把守住自启动的入口，就可以把病毒木马扼杀在摇篮中。 文章目录 一.注册表 1.注册表基础知识 2.函数介绍 3.编程实现 二.快速启动目录 1.函数介绍 2.编程实现 三.计划任务 1.实现原理 2.具体操作 3.编程实现 四.系统服务 1.函数介绍

声明： 本文是我在工作中遇到的一种apk使用本地代理接收媒体流的方式，这种方式可以更加的安全。这里与大家分享，希望可以对你有所帮助。 介绍： 1.某apk获得数据和向player发送数据的方式： a. 使用本地代理的方式访问服务器，而本地代理就是使用 127.0.0.1 的网址。某apk首先会通过本地代理向服务器发送对应视频的请求，只不过这里发送请求的URL中加入了Accept-Encoding：gzip\r\n 关键字，这个关键字就是向服务器申明自己是可以接收加密数据的。而如果服务器有加密数据将返回客户端加密的数据，同时会在返回客户端的请求中加入 Content-Encoding: gzip：表明传输的数据是gzip过的数据，而 Content-Length:117：表示gzip压缩后的数据大小，便于客户端使用。 b. 本地代理获得数据后会检测响应中是不是有 Content-Encoding: gzip，如果有，之后会对数据解码。并将解码后的清流推送到播放器进行播放。 而关于HTTP gzip可以看下面的介绍： https://www.jianshu.com/p/b0a463958b60 https://blog.csdn.net/u010266010/article/details/80331889 2. 而通常我们是不能抓到本地（127.0.0.1）的网络包的

摘自： https://blog.csdn.net/java_yanglikun/article/details/92770484 一、wireshark时间显示 相对时间：相对与第一个抓到包的时间 绝对时间 相对时间：相对于某个数据包(可自己设置)的时间 1、相对时间(第一个报文)：相对于第一个抓到包的时间 第一个报文时间是0，后续时间以秒为单位。这个是默认的展示方式 2、绝对时间 View | Time Display Format | Date and Time of Day Time的列属性保持默认即可。 3、相对时间(指定报文)：相对于某个数据包 比如咱们要看一下某个http请求到响应一共花费了多长时间。如果有先前的两种方式都需要计算。如果用相对于某个报文作为基准就不用计算，可以直观的看出来了。 选中开始报文 | 右击 | set|UnSet time Reference 选中http开始报文，设置后，后续的时间都以http开始请求为参考 参考： https://www.wireshark.org/docs/wsug_html_chunked/ChWorkTimeFormatsSection.html 来源： oschina 链接： https://my.oschina.net/u/4270607/blog/4300030

场景 RTP over TCP中 RTCP的实现代码 std::string strName = "fengyuzaitu@51.cto"; int nLength = 2 + 2 + 8 + 20 + 4 + 6 + strName.size(); std::string strRTCPBuffer; //对齐四个字节，并且让最后的字符是0x00,保证wireshark抓包最后显示Type: END (0) int nRet = (strName.length() + 2) % 4; if (0 != nRet) { nLength = nLength + 4 - nRet; } else { nLength = nLength + 4; } strRTCPBuffer.resize(nLength); //$+channel strRTCPBuffer[0] = 0x24; strRTCPBuffer[1] = 0x01; //RTCP报文长度，一段是RTCP统计数据内容，一段是RTCP源描述 *(unsigned short*)&strRTCPBuffer[3] = htons(nLength - 4); //Sender Report strRTCPBuffer[4] = (char)(2 << 6); // V=2, P=RC=0 strRTCPBuffer[5] =

显形“不可见”的网络包 网络世界中的数据表交互我们肉眼是看不见的，它们就好像隐形了一样，我们对着课本学习计算机网络的时候就会觉得非常的抽象，加大了学习的难度。 还别说，我自己在大学的时候，也是如此。 直到工作后，认识了两大分析网络的利器： tcpdump 和 Wireshark ，这两大利器把我们“看不见”的数据表，呈现在我们眼前，一目了然。 唉，当初大学学习计网的时候，要是能知道这两个工具，就不会学的一脸懵逼。 tcpdump 和 Wireshark 有什么区别？ tcpdump 和 Wireshark 就是最常用的网络抓包和分析工具，更是分析网络性能必不可少的利器。 tcpdump 仅支持命令行格式使用，常用在 Linux 服务器中抓取和分析网络包。 Wireshark 除了可以抓包外，还提供了可视化分析网络包的图形页面。 所以，这两者实际上是搭配使用的，先用 tcpdump 命令在 Linux 服务器上抓包，接着把抓包的文件拖出到 Windows 电脑后，用 Wireshark 可视化分析。 当然，如果你是在 Windows 上抓包，只需要用 Wireshark 工具就可以。 tcpdump 在 Linux 下如何抓包？ tcpdump 提供了大量的选项以及各式各样的过滤表达式，来帮助你抓取指定的数据包，不过不要担心，只需要掌握一些常用选项和过滤表达式

在不少电影电视剧中，主角的身边都有这么一位电脑高手：他们分分钟可以黑进反派的网络，攻破安全防线，破解口令密码，拿到重要文件。他们的电脑屏幕上都是一些看不懂的图形和数字，你能看懂的就只有那个进度条，伴随着紧张的BGM，慢慢的向100%靠近······ 上面的场景和套路是不是很眼熟？ 影视作品中的黑客当然有夸张和戏剧化的表现，不过，现实世界中的黑客也有一套他们的工具库，轩辕君梳理了常用的20个工具。有了他们，你也能化身电脑高手，成为那个瞩目的焦点。 以下分系统终端侧和网络侧两个方向，分别介绍10款常用的黑客工具。 - OllyDbg - WinDbg - IDA - APIMonitor - PCHunter - ProcExp - ProcMon - dex2jar - jd-gui - Mimikatz - WireShark - Fiddler - nmap - netcat - Nessus - SQLMap - hydra - shodan - zoomeye - metasploit 系统终端 系统终端侧的工具主要用于程序逆向分析、破解等用途。 OllyDbg 调试工具，简称OD，其名头在圈子里也算得上是顶流了。其黑客风的交互界面，丰富便捷的调试功能成为软件破解爱好者的首选利器。 WinDbg 也是一款调试工具，微软出品，必属精品？与上面的OD不同，它的界面就要朴素无华许多

这是作者网络安全自学教程系列，主要是关于安全工具和实践操作的在线笔记，特分享出来与博友们学习，希望您喜欢，一起进步。前文分享了软件来源分析，结合APT攻击中常见的判断方法，利用Python调用扩展包进行溯源。这篇文章将详细讲解远控木马及APT攻击中的远控，包括木马的基本概念和分类、木马的植入方式、远控木马的通信方式、APT攻击与远控木马等。作者之前分享了多篇木马的文章，但这篇更多是讲解远控型木马，基础性文章，希望对您有所帮助~ 作者作为网络安全的小白，分享一些自学基础教程给大家，主要是关于安全工具和实践操作的在线笔记，希望您们喜欢。同时，更希望您能与我一起操作和进步，后续将深入学习网络安全和系统安全知识并分享相关实验。总之，希望该系列文章对博友有所帮助，写文不易，大神们不喜勿喷，谢谢！如果文章对您有帮助，将是我创作的最大动力，点赞、评论、私聊均可，一起加油喔~ 文章目录 一.木马的基本概念和分类 二.木马的植入方式 三.远控木马的通信方式 1.正向连接 2.反向连接 3.通信协议 四.远控木马的常见功能及意图 1.文件管理 2.进程管理 3.服务管理 4.注册表管理 5.屏幕控制 6.键鼠操作 7.屏幕截取 8.语音视频截获 9.键盘记录 五.APT攻击与远控木马 1.APT攻击与远控木马的关系 2.普通远控木马与APT远控木马的区别 3.APT攻击中的典型远控木马 六.总结

昨天的万粉闯关活动让我始料未及，推文才刚刚发出十分钟左右，阳光普照奖就被抢完了，不到两小时，五个关卡所有红包也被清空，读者真是卧虎藏龙，高手如云啊～ 是这次的题目太简单了吗？下一次增加点难度？ 好啦，按照惯例，来解密一下昨天的关卡。 第一关 看看这棵二叉树，关键词已经提醒的很明显了，遍历！ 关键词：二叉树遍历，注意大小写 看看左下角的http，很明显这是一个URL，再观察h-t-t-p出现的顺序，可知道这是后续遍历的出场方式，所以第一关就很简单了，后续遍历一下这棵二叉树，答案就能揭晓： http://suo.im/6bZxgm 其中要注意的是字母Z是大写的，这一点，在图片的提示中也有说明，不少人直接都是小写自然是打不开的。请不要放过给出的每一句提示！ 打开这个URL，第一关告破： 话说，图片本身的链接是一个很长的URL，如果直接用它来做二叉树的话，那这棵二叉树就会长得很“茂盛”了，为了降低难度，用了一个短链接的技术压缩了一下。关于短链接设计，推荐大家看一下微信公众号『码海』的一篇文章： 高性能短链设计 第二关 拿到第一关口令的同时，第二关的入口也就浮出水面了： https://www.cnblogs.com/xuanyuan/p/13275248.html 打开看看： 第二关的题目，我放在了我的博客园文章里，这篇文章是隐藏状态，在我的博客园主页是直接看不到的哦，不然就提前暴露了。

云栖号资讯：【 点击查看更多行业资讯 】 在这里您可以找到不同行业的第一手的上云资讯，还在等什么，快来！ 一、前言 移动互联网应用程序(Mobile APP，以下简称“APP”或“移动APP”)安全早已成为信息安全领域中广受关注的热点话题。作为安全检测人员，在日常测试工作中经常涉及移动APP的安全检测，在此结合相关移动APP检测标准和工作经验，从渗透测试角度，对移动APP的检测进行概要性总结说明。 二、目标分析 移动APP的安全问题与传统桌面软件有所不同。虽然现代移动操作系统(如Android和iOS)已比较注重安全防护，但如果APP开发人员在开发移动应用程序时不全面仔细地考虑安全性，APP仍可能会存在可被利用的安全漏洞，从而面临安全威胁。移动APP渗透测试目的就是充分分析和挖掘移动APP和相关系统存在的安全问题，进而帮助其进行修复，提升安全性，保护用户信息。 从业务上来看，在移动APP架构中，面临安全威胁的目标 / 路径主要有三个，它们分别是：移动APP、数据传输和服务端。 三、面临的威胁 1. 客户端 客户端(移动APP)主要面临的威胁包括反编译、调试、篡改/重打包、输入记录、组件安全、注入和Hook、本地敏感数据泄露等。 (1) 反编译 对一个软件进行分析可以分为静态分析和动态分析两大部分。反编译是静态分析的一种基础手段。高级编程语言源代码经过编译变成可执行文件

本文关键字：MGR、监控、Wireshark 问题 在一个 MGR 集群里，一个节点异常退出后，MySQL 会如何进行调度？异常的节点什么时候会被踢出集群？ 实验 实验开始前，给大家分享一个 小经验：选择合适的观测工具，如果没有，就创造一个。 我们先使用三台虚拟机，创建一个 MGR 的集群。MySQL 的版本是 5.7.20（之所以使用低版本的 MySQL，因为恐怕没有人能说清楚这个低版本的 MGR 的行为，不能扯淡只能观测）。 这次我们忽略这一操作步骤，只看一下创建好的集群： 检查一下谁是 Primary： 现在我们得选择一个观测工具了。我们知道 MGR 需要通过网络来相互沟通，对集群内的节点状况达成一致。通过抓包对 MGR 的行为进行分析，看上去是个不错的主意。 不过 Wireshark 并不支持分析 MGR 的网络协议，我们只能自己创造一个 Wireshark 的分析插件（dissector）。 此处我们忽略创造插件的过程，直接拿来用就可以了。 我们访问： https://github.com/actiontech/wireshark-dissector-mysql-group-replicaiton/releases 下载 Wireshark 的安装包，并安装好： 我们在 MGR 的 Primary 节点（test-mgr-1）上抓包： 然后将一个节点（test-mgr-3