シャープ5.20エージェント検出のACK応答メッセージ検出
エージェント検出には多くの方法が鋭く使用されており、メッセージ検出はその1つにすぎません.
次の方法はwiresharkパケット分析の比較によって、反コンパイル、反アセンブリツールが使用されていないことを確認した.
仮想マシンでは、「エージェントソフトウェアをインストールして使用しないでください.エージェントサービスは他の人に提供されていません」という鋭いプロンプトが複数回表示された後
個人的な推測:鋭捷はメッセージ検出によってエージェントの使用を検出する可能性がある
テキストペアリングツールbeyond、プロセス分析ツールprocmonにより、プロンプトボックスをポップアップした後、プロンプトの原因をログに書き込み、ログ名はproxy.logであることが分かった.
ログの一部を削除します
次に、ネットワークカードのすべての外部に送信されたACKメッセージ(ACKリセットメッセージを含む)を検出し、ネットワークカードが送信されていない場合、影のあるユーザが存在すると判断し、強制的にラインオフし、メッセージを印刷する
以下、このメッセージのデータを简単に分析します.メッセージは一般的にTCP 3回握手の最后の段阶で発生します.
リンク層00 1 A 9 C 4 AC DB 00 08--00 5 D 5 A CA 08 00ソースMACアドレス00 08 00 5 D 5 A CA==ネイティブMACアドレス宛先MACアドレス00 1 A A 9 C 4 AC DBシャープスイッチMACアドレスタイプ08 00 IPメッセージ
IP層
45 00 00 28 6D BD 40 00 40 06 -- 0C 8A AC 12 3E C9 B6 76 1F 37
協議バージョン4頭長20バイトソースIP:AC 12 3 E C 9=172.18.2.201目的IP:B 6 761 F 37=182.118.31.55河南省鄭州市聯通//6 F A 1 30 E 0=111.161.48.242=テンセント天津聯通サーバー下層協議:06 TCP
TCP層ソースポート:39 56=14678ポート//31 CE=12750ポート目的ポート:00 50=80ポートACKメッセージ:50 10 ACK+resetメッセージ:50 14鋭敏検出5010と5014、目的ポートはいずれも80ポート
次の手順に従います.
関連特許
CN101888296 B
発明者陳光磊申請者北京星網鋭捷ネットワーク技術有限会社本発明は影ユーザー検出方法、装置、設備とシステムを提供した.前記方法は、ユーザ認証に合格した後、認証に合格したユーザと同じユーザ認証特徴を有するメッセージを取得することと、前記メッセージの識別フィールドを抽出し、隣接するメッセージの識別フィールドの差分値を計算する.前記差分値が予め設定された影ユーザ検出条件に合致するか否かを判断し、もしそうであれば影ユーザが存在すると判断する.本発明はネットワーク中に合法的にユーザーの身分を認証する影のユーザーが存在するかどうかを検出することができ、影のユーザーがもたらす安全上の危険性と費用逃れの問題を解決した.
次の方法はwiresharkパケット分析の比較によって、反コンパイル、反アセンブリツールが使用されていないことを確認した.
仮想マシンでは、「エージェントソフトウェアをインストールして使用しないでください.エージェントサービスは他の人に提供されていません」という鋭いプロンプトが複数回表示された後
個人的な推測:鋭捷はメッセージ検出によってエージェントの使用を検出する可能性がある
テキストペアリングツールbeyond、プロセス分析ツールprocmonにより、プロンプトボックスをポップアップした後、プロンプトの原因をログに書き込み、ログ名はproxy.logであることが分かった.
ログの一部を削除します
[2014-11-13 23:45:39][536][info]:DNS thread run success
[2014-11-13 23:45:39][212][info]:QueryDNSThread start,running...
[2014-11-13 23:45:50][1948][error]:Failed to post UM_RECVPACKET message.
[2014-11-13 23:45:50][2016][info]:adapterName={65DF12CE-0484-419B-8EF9-5AD1547D3750}
hostMac=00:08:00:5d:5a:ca kinds=ffffffff
[2014-11-13 23:45:50][2016][info]:m_adapterName={65DF12CE-0484-419B-8EF9-5AD1547D3750}
[2014-11-13 23:46:12][2016][info]:↓↓↓↓↓↓↓↓↓↓↓↓↓ , ipTotoalLen:40↓↓↓↓
↓↓↓↓↓↓↓↓
[2014-11-13 23:46:12][2016][info]:
--Hex Stream BEGIN-------------------------------------
00 1A A9 C4 AC DB 00 08 -- 00 5D 5A CA 08 00 45 00
00 28 6D BD 40 00 40 06 -- 0C 8A AC 12 3E C9 B6 76
1F 37 39 56 00 50 F3 D7 -- A0 37 C0 41 08 7A 50 10
01 02 57 D8 00 00 00 00 -- 00 00 00 00
--Hex Stream E N D------------------------------------
[2014-11-13 23:46:12][2016][info]:↑↑↑↑↑↑↑↑↑↑↑↑↑ , ↑↑↑↑↑↑↑↑↑↑↑
↑↑↑↑↑↑↑↑↑
[2014-11-13 23:46:27][212][info]:QueryDNSThread quit
次に、ネットワークカードのすべての外部に送信されたACKメッセージ(ACKリセットメッセージを含む)を検出し、ネットワークカードが送信されていない場合、影のあるユーザが存在すると判断し、強制的にラインオフし、メッセージを印刷する
以下、このメッセージのデータを简単に分析します.メッセージは一般的にTCP 3回握手の最后の段阶で発生します.
リンク層00 1 A 9 C 4 AC DB 00 08--00 5 D 5 A CA 08 00ソースMACアドレス00 08 00 5 D 5 A CA==ネイティブMACアドレス宛先MACアドレス00 1 A A 9 C 4 AC DBシャープスイッチMACアドレスタイプ08 00 IPメッセージ
IP層
45 00 00 28 6D BD 40 00 40 06 -- 0C 8A AC 12 3E C9 B6 76 1F 37
協議バージョン4頭長20バイトソースIP:AC 12 3 E C 9=172.18.2.201目的IP:B 6 761 F 37=182.118.31.55河南省鄭州市聯通//6 F A 1 30 E 0=111.161.48.242=テンセント天津聯通サーバー下層協議:06 TCP
TCP層ソースポート:39 56=14678ポート//31 CE=12750ポート目的ポート:00 50=80ポートACKメッセージ:50 10 ACK+resetメッセージ:50 14鋭敏検出5010と5014、目的ポートはいずれも80ポート
次の手順に従います.
関連特許
CN101888296 B
発明者陳光磊申請者北京星網鋭捷ネットワーク技術有限会社本発明は影ユーザー検出方法、装置、設備とシステムを提供した.前記方法は、ユーザ認証に合格した後、認証に合格したユーザと同じユーザ認証特徴を有するメッセージを取得することと、前記メッセージの識別フィールドを抽出し、隣接するメッセージの識別フィールドの差分値を計算する.前記差分値が予め設定された影ユーザ検出条件に合致するか否かを判断し、もしそうであれば影ユーザが存在すると判断する.本発明はネットワーク中に合法的にユーザーの身分を認証する影のユーザーが存在するかどうかを検出することができ、影のユーザーがもたらす安全上の危険性と費用逃れの問題を解決した.