几个网络捕获工具的评价

几个网络捕获工具的评价 by 拉登兄弟

近期在写个CMD远控 写着写着 想在服务端上做点手脚

都知道杀软误报 特别是黑软大部分都报毒 但实际上是正常的

对此可能部分人并不装杀软 基本上靠自己分析软件是否安全

1 低级点的 用相关工具 检測不能真的全然保证程序无毒 也没啥技术含量

原因是 可能你正在检測时 后门没激活（比方 我设置晚上12点才向外连接等）

你在白天或其他时间检測我的工具 可能没发现不论什么异常 晚上你开工具做事的时候

后门也跟着激活了 哈哈 这方法 实际中还真有人这么看 曾经某个木马

检測到当前机器是2003的话 就往作者邮箱发送一些server相关信息 供他黑吃黑

2 高级的 自己破解 脱壳 反编译程序 直接杀进去分析代码

软件调用什么函数 做了什么事情 全都一目了然 分析结果也会比較准确 也有技术

这样也比較浪费时间 就算会 一般也不会 常常这样到处在分析 (病毒分析师除外)

如今我想在服务端上做点手脚 躲过 经常使用抓包工具 由于要用到几个抓包工具

所以 顺便对照做个评測 给不太了解抓包工具的 參考參考 有错的地方 请大牛指正

部分 工具能够到 E:\CrAcK8工具包2012\安全检測 里面找到

1 MiniSinffer

长处：1 单文件绿色版能够监控到全部流量信息

2 能够在 对測试体 执行前 开启抓包工具

3 用skype给同事 传个几G的文件 照样抓出一堆包

缺点：1 不能仅仅对指定进程（太多包的话 不易分析）

2 抓WEB包时显示为UDP(就是网交提交 POST GET那些)

在測试中 停止监听 在又一次执行后 WEB包就抓不到了

2 WSExplorer 1.3.exe

长处: 1 单文件绿色版 带着方便 也不用安装

2 不用Wincap支持

3 能够仅仅抓指定进程 ((渗透)比方上传文件 (破解)看软件运行某个操作后向外发了什么)

4 兼容性也不错 支持 WIN7 2008等系统

缺点: 1 对于大量数据的包 软件就崩溃卡死

(用skype给同事 传个几G的文件 立刻白屏)

2 仅仅能先执行 測试体后 刷新列表进程 才干进行抓包

3 有时抓包时 好像突然会卡住

測试体执行前后 再抓包差别非常大

3 WSockExpert_Cn(捉包)

长处: 1 绿色版 不用安装 解压就能够使用

2 不用Wincap支持

3 能够仅仅抓指定进程 ((渗透)比方上传文件 (破解)看软件运行某个操作后向外发了什么)

缺点: 1 仅仅能先执行 測试体后 刷新列表进程 才干进行抓包

2 兼容性不太好 不支持vista或WIN7等以上系统

4 那个什么iris eeye组织的作品 呵呵10还是以09年那时由于鬼影的MBR

我找了些资料 发如今05年之前他们公布了相关bookit研究资料(MBR当中之中的一个)

长处：1 可对网卡进行抓包 有过滤机制

2 可先抓包 再执行 測试体

3 功能也非常多 eeye组织的作品不会差到哪去

(仅仅是今天刚好在我虚拟机里没法执行
没能得对功能红看 仅仅是凭之前以前使用过的一点因像)

缺点：1 要Wincap支持 有些管理员做了限制 没法安装Wincap

5 iptool网络抓包分析工具

长处:1 能够对网卡进行捕获 能够通过多种规则进行过滤 比方说 IP 协议(仅仅抓ARP 还是SMTP 还是其他一起)

2 同一时候显示包的几个形式 查看和分析包也比較方便

3 可先抓包 再执行 測试体

4 还能够依据指定内容 查找包

5 兼容性也不错 支持win7 2008等

6 不用安装wincap

缺点: 1 不能仅仅抓指定进程

2 要Wincap支持 有些管理员做了限制 没法安装Wincap

6 sniffer pro(网络抓包工具)

没用过 可能以前以前安装过 见软件太大了 最重要是安装后 还缺啥环境执行不了

所以一直以为基本上都没用这个

总结 1 国产的Iptool 综合性能不错

2 IRIS也不错 国外EEYE组织的 只是我非常少用

只是并非由于软件是英文的 而是由于可能之前抓包

大部分用于WEB抓包 或指定操作抓包 基本上都选了支持抓指定进程的工具

3 上面两款能够说是 大炮 WSockExpert WSockExpert 等这些就是小米加步枪了

但他们也有不能忽略的长处 就是均支持 指定进程抓包 这对于渗透 或者抓取指定工具

操作时 向外提交了什么包非常方便分析 比方说 阿D注入工具 扫描时 提交了什么SQL语句等

4 上面的抓包工具 各有优点和缺点 请根据自己的实际应用 选择哪一个 提高效能