看雪安全论坛  

 

 

 

 


返回   看雪安全论坛 > 初学者园地 > 『求助问答』 > 『经典问答』
忘记密码?

发表新主题 回复
悬赏贴 悬赏金: 10   状态: 已解决  
主题工具 显示模式
nullily
级别:7 | 在线时长:83小时 | 升级还需:13小时级别:7 | 在线时长:83小时 | 升级还需:13小时级别:7 | 在线时长:83小时 | 升级还需:13小时级别:7 | 在线时长:83小时 | 升级还需:13小时

nullily 的头像

初级会员
初级会员

资 料:
注册日期: Nov 2011
帖子: 47 nullily 品行端正
精华: 0
现金: 36 Kx
致谢数: 1
获感谢文章数:0
获会员感谢数:0
结帖率:100%
1 旧 2012-06-17, 08:55:41 默认 求助一下 用什么抓包工具可以抓到下载者的下载地址?
nullily 当前离线

基本上常用的抓包工具用了十来个 都抓不到 不知道是不是方法用的不对
我想得到下载者下载的IP地址或者域名

下载者实现是用最简单常用的URLDownloadToFileA

谢谢各位指导
回复时引用此帖 返回顶端
cleverelie
级别:4 | 在线时长:44小时 | 升级还需:1小时

cleverelie 的头像

初级会员
初级会员

资 料:
注册日期: May 2012
帖子: 4 cleverelie 品行端正
精华: 0
现金: 6 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
     (+1) 2 旧 2012-06-17, 12:01:47 默认 Wireshark抓包工具
cleverelie 当前离线

试试Wireshark抓包工具
回复时引用此帖 返回顶端
nullily
级别:7 | 在线时长:83小时 | 升级还需:13小时级别:7 | 在线时长:83小时 | 升级还需:13小时级别:7 | 在线时长:83小时 | 升级还需:13小时级别:7 | 在线时长:83小时 | 升级还需:13小时

nullily 的头像

初级会员
初级会员

资 料:
注册日期: Nov 2011
帖子: 47 nullily 品行端正
精华: 0
现金: 36 Kx
致谢数: 1
获感谢文章数:0
获会员感谢数:0
3 旧 2012-06-17, 17:53:38 默认
nullily 当前离线

引用:
最初由 cleverelie发布 查看帖子
试试Wireshark抓包工具
测试的时候用过 不过不知道是不是方法不对 抓不到啊
回复时引用此帖 返回顶端
炸鸡大侠
级别:8 | 在线时长:112小时 | 升级还需:5小时级别:8 | 在线时长:112小时 | 升级还需:5小时

初级会员
初级会员

资 料:
注册日期: Mar 2012
帖子: 13 炸鸡大侠 品行端正
精华: 0
现金: 83 Kx
致谢数: 3
获感谢文章数:0
获会员感谢数:0
     (+1) 4 旧 2012-06-20, 16:59:41 默认
炸鸡大侠 当前离线

UrlDownloadToFileA可以看到地址吧?如果不行你可以用WPE找它的进程抓它的数据包分析,一般的下载者应该都是可以跟到下载地址的.
回复时引用此帖 返回顶端
小熊出山
级别:0 | 在线时长:4小时 | 升级还需:1小时

临时用户
临时用户

资 料:
注册日期: Mar 2012
帖子: 4 小熊出山 品行端正
精华: 0
现金: 33 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
     (+1) 5 旧 2012-06-23, 19:21:00 默认
小熊出山 当前离线

传上来,让大牛帮你抓下看
回复时引用此帖 返回顶端
gott
级别:2 | 在线时长:14小时 | 升级还需:7小时级别:2 | 在线时长:14小时 | 升级还需:7小时

初级会员
初级会员

资 料:
注册日期: Oct 2008
帖子: 24 gott 品行端正
精华: 0
现金: 197 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
     (+1) 6 旧 2012-06-25, 11:13:34 默认
gott 当前离线

其实没什么必要这么复杂  
安装了防火墙软件 
然后让日志记录全部信息  
就行了

============
补充  一般木马是开机运行的 一联网 就下载
建议是先拔网线
回复时引用此帖 返回顶端
冰河之刃
级别:9 | 在线时长:121小时 | 升级还需:19小时级别:9 | 在线时长:121小时 | 升级还需:19小时级别:9 | 在线时长:121小时 | 升级还需:19小时

冰河之刃 的头像

初级会员
初级会员

资 料:
注册日期: Jan 2010
帖子: 19 冰河之刃 品行端正
精华: 0
现金: 11 Kx
致谢数: 4
获感谢文章数:1
获会员感谢数:1
     (+1) 7 旧 2012-07-03, 07:50:35 默认 SmartSniff可以试一下,我没权限上传附件
冰河之刃 当前离线

SmartSniff v1.32
Copyright (c) 2004 - 2007 Nir Sofer
Web site: http://www.nirsoft.net (访问此网站获取最新版)



Description
===========

SmartSniff allows you to capture TCP/IP packets that pass through your
network adapter, and view the captured data as sequence of conversations
between clients and servers. You can view the TCP/IP conversations in
Ascii mode (for text-based protocols, like HTTP, SMTP, POP3 and FTP.) or
as hex dump. (for non-text base protocols, like DNS)
SmartSniff provides 3 methods for capturing TCP/IP packets :
1. Raw Sockets (Only for Windows 2000/XP or greater): Allows you to
   capture TCP/IP packets on your network without installing a capture
   driver. This method has some limitations and problems.
2. WinPcap Capture Driver: Allows you to capture TCP/IP packets on all
   Windows operating systems. (Windows 98/ME/NT/2000/XP/2003/Vista) In
   order to use it, you have to download and install WinPcap Capture
   Driver from this Web site. (WinPcap is a free open-source capture
   driver.)
   This method is generally the preferred way to capture TCP/IP packets
   with SmartSniff, and it works better than the Raw Sockets method.
3. Microsoft Network Monitor Driver (Only for Windows 2000/XP/2003):
   Microsoft provides a free capture driver under Windows 2000/XP/2003
   that can be used by SmartSniff, but this driver is not installed by
   default, and you have to manually install it, by using one of the
   following options:
   * Option 1: Install it from the CD-ROM of Windows 2000/XP
     according to the instructions in Microsoft Web site
   * Option 2 (XP Only) : Download and install the Windows XP
     Service Pack 2 Support Tools. One of the tools in this package is
     netcap.exe. When you run this tool in the first time, the Network
     Monitor Driver will automatically be installed on your system.

   Notice: If WinPcap is installed on your system, and you want to use
   the Microsoft Network Monitor Driver method, it's recommended to run
   SmartSniff with /NoCapDriver, because the Microsoft Network Monitor
   Driver may not work properly when WinPcap is loaded too.
回复时引用此帖 返回顶端
小鸟
级别:5 | 在线时长:58小时 | 升级还需:2小时级别:5 | 在线时长:58小时 | 升级还需:2小时

初级会员
初级会员

资 料:
注册日期: Sep 2005
帖子: 13 小鸟 品行端正
精华: 0
现金: 195 Kx
致谢数: 1
获感谢文章数:0
获会员感谢数:0
     (+1) 8 旧 2012-07-10, 20:41:52 默认
小鸟 当前离线

这是我用的。。。
上传的附件
文件类型: zip smsniff.zip (223.3 KB, 45 次下载)
回复时引用此帖 返回顶端
liuweilie
级别:8 | 在线时长:115小时 | 升级还需:2小时级别:8 | 在线时长:115小时 | 升级还需:2小时

初级会员
初级会员

资 料:
注册日期: Oct 2008
帖子: 36 liuweilie 品行端正
精华: 0
现金: 91 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
     (+1) 9 旧 2012-09-14, 16:35:38 默认
liuweilie 当前离线

不用抓包,知道是哪个进程,用iceworld看一下进程信息就行
回复时引用此帖 返回顶端
小小酥
级别:3 | 在线时长:24小时 | 升级还需:8小时级别:3 | 在线时长:24小时 | 升级还需:8小时级别:3 | 在线时长:24小时 | 升级还需:8小时

小小酥 的头像

临时用户
临时用户

资 料:
注册日期: Oct 2011
帖子: 50 小小酥 品行端正
精华: 0
现金: 39 Kx
致谢数: 2
获感谢文章数:1
获会员感谢数:1
     (+1) 10 旧 2012-09-19, 10:21:47 默认
小小酥 当前离线

别告诉我你是连哪个进程都不知道
回复时引用此帖 返回顶端
leaveme
级别:0 | 在线时长:4小时 | 升级还需:1小时

初级会员
初级会员

资 料:
注册日期: Mar 2008
帖子: 5 leaveme 品行端正
精华: 0
现金: 233 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
     (+1) 11 旧 2012-09-21, 23:22:34 默认
leaveme 当前离线

什么意思?你在服务器端?
回复时引用此帖 返回顶端
caskywz
级别:0 | 在线时长:3小时 | 升级还需:2小时

初级会员
初级会员

资 料:
注册日期: Jan 2009
帖子: 21 caskywz 品行端正
精华: 0
现金: 202 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
     (+1) 12 旧 2012-10-02, 17:48:03 默认
caskywz 当前离线

还有进程? 木有注入  然后销毁么?..然后用KAD技术

木有进程 ...至于IP  一大堆

在然后一堆悲剧.......
回复时引用此帖 返回顶端
爱末流
级别:0 | 在线时长:2小时 | 升级还需:3小时

初级会员
初级会员

资 料:
注册日期: Aug 2012
帖子: 3 爱末流 品行端正
精华: 0
现金: 21 Kx
致谢数: 0
获感谢文章数:0
获会员感谢数:0
13 旧 2012-10-02, 17:51:02 默认
爱末流 当前离线

顶!!!!!!
回复时引用此帖 返回顶端
nullily
级别:7 | 在线时长:83小时 | 升级还需:13小时级别:7 | 在线时长:83小时 | 升级还需:13小时级别:7 | 在线时长:83小时 | 升级还需:13小时级别:7 | 在线时长:83小时 | 升级还需:13小时

nullily 的头像

初级会员
初级会员

资 料:
注册日期: Nov 2011
帖子: 47 nullily 品行端正
精华: 0
现金: 36 Kx
致谢数: 1
获感谢文章数:0
获会员感谢数:0
14 旧 2013-09-16, 18:39:23 默认
nullily 当前离线

以前忘记结贴了 到今天才看到  结贴
不过这见证了曾经发的小白帖的人的成长。。 
谢谢楼上各位!!!
回复时引用此帖 返回顶端
发表新主题 回复

添加到书签

主题工具
显示模式

发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛论坛启用 vB 代码
论坛启用 表情图标


所有时间均为北京时间, 现在的时间是 23:20:59.


  ©2000-2014 看雪学院(PEdiy.com) |关于我们 | 京ICP备10040895号-8 | 知道创宇提供带宽资源 | 微信公众帐号:ikanxue   手机客户端: