第一节    简介

njRAT在2013年第一次出现,主要盛行于中东地区,在世界其他国家和地区也有广泛传播。njRAT 程序完美支持阿拉伯字符,有证据表明极端组织ISIS使用njRAT作为重要的网络武器。njRAT使用微软的 .NET框架开发,并像其他许多木马一样为远程攻击者提供了对被感 染系统的完全控制功能。我们已经看到攻击者利用被污染的流行游戏、破解软件及注册机来进行污染传播。njRAT木马因其广泛流传的在线支持和教程,已成为最成功的网络犯罪工具之一。与此同时,目前网络中也有较多.NET 混淆工具流传,使病毒检测相对困难,妨碍了安全研究人员的分析。

第二节 描述

第二章 样本包分析

请求报文都相同,以下的类型是按响应报文划分的,共有3种。

第一节    类型一

一、基本属性

二、报文分析

一、请求报文

lv|'|':猜测是代表建立连接,这里还有多种动作,后面会有说明
VHJvamFuX0M0NkY2RTk= :是base64编码,解码后为Trojan_C46F6E9,Trojan只是名字,C46F6E9代表卷的序列号
MARK:计算机名
user:用户名
2013-11-22:攻击者在爱害者机器中创建文件时的日期
日期和系统之前的||:没有显示,此处应为Systemlocale(系统区域,如中国、美国)
Win XP:操作系统信息
No:是否有相片设备
0.6.4:Njrat版本
0.6.4和endof之前的||:没有显示,若有内容应为base64编码,是攻击者相关行为的说明
endof:结束符

下图是使用njrat软件的截图,与上面信息基本一致,可以作为参考

上图中的下拉列表代表不同的动作,一般出现在报文开始的地方,就是lv|'|'|这个位置,下表是各动作在报文中的特征:

注:以上是从网上查找的资料,网址:http://www.threatgeek.com/2013/07/njrat-detection-rules-using-yara-.html

njRAT远程访问木马协议分析相关推荐

  1. 思科服务器远程管理,Telnet远程访问思科交换机、路由器 TCP协议分析工具

    Top 1 Telnet远程访问思科交换机.路由器 1.1 问题 在企业中为方便网络管理员对Cisco设备的配置,一般需事先在Cisco交换机及路由器上开启远程管理的服务,借助网络通过telnet方式 ...

  2. PYTHON黑帽编程1.5 使用WIRESHARK练习网络协议分析

    Python黑帽编程1.5  使用Wireshark练习网络协议分析 1.5.0.1  本系列教程说明 本系列教程,采用的大纲母本为<Understanding Network Hacks At ...

  3. TCP/IP协议分析

    一;前言 学习过TCP/IP协议的人多有一种感觉,这东西太抽象了,没有什么数据实例,看完不久就忘了.本文将介绍一种直观的学习方法,利用协议分析工具学习TCP/IP,在学习的过程中能直观的看到数据的具体 ...

  4. 网络间谍又添利器:新型远程访问木马Trochilus

    研究人员发现了一场新型的网络间谍活动,它依赖于大量远程访问木马(Remote Access Trojan,RAT),包括新型强大的Trochilus(蜂鸟)木马,该木马背后的攻击者主要使用了恶意邮件作 ...

  5. 计算机网络协议分析全知识点总结兼期末复习重点

    计算机网络协议分析知识点总结 第一章 概述 数据封装与解封装 互联网使用的四种地址 第二章 链路层 信道类型与帧类型* 以太网(Ethernet II帧格式*,MTU) CSMA/CD与CDMA/CA ...

  6. 一个淘宝客劫持木马的分析

    一个淘宝客劫持木马的分析 近期,我们收到很多淘宝卖家的投诉,报告说他们的淘宝联盟付费推广被莫名奇妙地扣除了一部分,而这个商品是没有经过推广的.360病毒响应中心的工程师收 到投诉后,经过一系列的分析和 ...

  7. 最新QQ2008贺岁协议分析第三版

    一. QQ2008 Touch包0x91 a) 0x2aa8 客户端 原始数据: 02 11 5b 00 91 2a a8 38 25 f5 91 5d 4c af 65 54 44 6d 76 7b ...

  8. WebSocket协议分析

    点击上方↑↑↑蓝字[协议分析与还原]关注我们 " 解析websocket数据格式." 好久不见,一晃一年又过去了,祝大家新年好运. 今天,给大家分析一个常见的协议--WebSock ...

  9. 宅男抖音某猫协议分析及应用破解

    " 分析传说中的快x,顺便提供破VIP线路及去启动广告方法." 在当今这个由应用市场主导的网络上,流传着一批应用,它们低调又神秘,依赖口碑与独立网站在地下渠道传播,应用市场中从来都 ...

最新文章

  1. DPM系列之一:安装dpm与attach dpmagent
  2. 题目1063:整数和
  3. Memory and Crow
  4. 2021东京奥运会数据接口
  5. 【XDA汉化组编写】Android软件汉化/精简/去广告/优化教程 FAQ
  6. 【Linux】生产者消费者编程实现-线程池+信号量
  7. 1.HTML,CSS知识点
  8. ffmpeg 从内存中读取数据(或将数据输出到内存)
  9. Redis Zui佳实践:7个维度+43条使用规范,带你彻底玩转Redis
  10. 拓端tecdat|R语言时间序列分析复杂的季节模式
  11. A Belief Propagation Algorithm for Multipath-Based SLAM IEEE TWC2019阅读
  12. jeb安装教程_《教我兄弟学Android逆向番外02 jeb工具的使用》
  13. SCAU华南农业大学-数电实验-用74LS138实现1位的全加器
  14. POJ 1862: Stripies
  15. 我用Python爬取美食网站3032个菜谱并分析,真香!
  16. 在华为云服务器上用WP搭建公司官网
  17. 红包大战不再是两马战,内容平台为何成为新生力量?
  18. 汉诺塔模拟器java
  19. bat 打开常用软件
  20. element-ui 表单校验,el-select校验失效问题

热门文章

  1. 网络安全从业人员有什么样的职业优势?
  2. 在电感选型时,电感的额定电流和饱和电流,这两个参数有什么差别
  3. 电感纹波电流最大时占空比是多少?
  4. 工厂人员行为识别检测
  5. 设计一个简单的英汉专业词典(map)
  6. kindeditor在方法中动态创建在线文本编辑器
  7. html中简单的樱花特效
  8. WPF:自定义DataGrid,双向绑定,禁用行,行索引
  9. pycharm远程debug报错:Couldn‘t apply path mapping to the remote file.
  10. 2021江西副高考试成绩查询,【江西软考高级职称成绩查询_2021年软考高级职称成绩查询】- 环球网校...