一、流量特征修改
抓包分析流量特征
特征对应的代码段
修改代码段打乱魔改
工具shell免杀
工具功能添加
二、魔改冰蝎
冰蝎原始特征库
HTTP头特征
加密模式
心跳机制
代码结构
进程行为
1.1 分析冰蝎流量特征
首先抓取冰蝎通信数据包
通过对冰蝎数据包分析:
请求数据包头的两个强特征
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
已知数据的提交内容加密算法
流量平台设备可以分析数据包的两个强特征;提交数据进行默认算法解密去分析是否为冰蝎攻击连接
解决:绕过识别(魔改打乱特征,新增加密算法)
1.2 反编译Behinder.jar
反编译网站:https://www.decompiler.com/
或者使用IDEA自带的反编译工具
"D:\Program Files\Java\jdk-17\bin\java.exe" -cp "E:\Programs\JetBrains\IntelliJ IDEA 2023.3.8\plugins\java-decompiler\lib\java-decompiler.jar" org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true Behinder.jar behinderSrc
1.3 IDEA创建工程
JDK版本必须是1.8的,否则后续创建工程会出现问题