记一次流量分析&代码分析-冰蝎v2.0.1
💡
原文中文,约6000字,阅读约需15分钟。
📝
内容提要
冰蝎流量分析过程:使用ASM框架动态生成class字节数组,AES加密,base64编码,POST发送,解密,base64解码,获取服务端返回的明文数据;检测特征:请求方式、资源、响应、Accept、Agent、Content-Length、REF字段。
🎯
关键要点
- 冰蝎流量分析过程包括请求服务端、生成随机数、保存密钥和响应报文。
- 冰蝎通信分为两个阶段:第一阶段请求密钥,第二阶段加密命令并发送。
- 流量分析过程包括追踪HTTP流和分析通信过程。
- 冰蝎流量解密使用AES加密和base64编码,需获取密钥和密文进行解密。
- 可绕过特征包括Accept字段、UserAgent字段和长连接特征。
- 非可绕过特征包括密钥传递时的URL参数、加密时的URL参数和加密数据的特征。
- 冰蝎源码分析涉及获取密钥、保存cookie、执行命令和动态生成class字节数组。
- 冰蝎特征总结包括检测请求方式、资源和服务端响应特征。
➡️
