对几款网络抓包工具的评测

对几款网络抓包工具的评测 by 拉登哥哥

最近在写个CMD远控 写着写着 想在服务端上做点手脚
都知道杀软误报 特别是黑软大部分都报毒 但实际上是正常的
对此可能部分人并不装杀软 基本上靠自己分析软件是否安全

1 低级点的 用相关工具 检测不能真的完全保证程序无毒 也没啥技术含量
原因是 可能你正在检测时 后门没激活（比如 我设置晚上12点才向外连接等）
你在白天或其它时间检测我的工具 可能没发现任何异常 晚上你开工具做事的时候
后门也跟着激活了 哈哈 这方法 实际中还真有人这么看 以前某个木马
检测到当前机器是2003的话 就往作者邮箱发送一些服务器相关信息 供他黑吃黑

2 高级的 自己破解 脱壳 反编译程序 直接杀进去分析代码
软件调用什么函数 做了什么事情 全都一目了然 分析结果也会比较准确 也有技术
这样也比较浪费时间 就算会 一般也不会 经常这样到处在分析 (病毒分析师除外)

现在我想在服务端上做点手脚 躲过 常用抓包工具 因为要用到几个抓包工具
所以 顺便对比做个评测 给不太了解抓包工具的 参考参考 有错的地方 请大牛指正

部分 工具可以到 E:CrAcK8工具包2012安全检测 里面找到

1 MiniSinffer
优点：1 单文件绿色版可以监控到所有流量信息
2 可以在 对测试体 运行前 开启抓包工具
3 用skype给同事 传个几G的文件 照样抓出一堆包

缺点：1 不能只对指定进程（太多包的话 不易分析）
2 抓WEB包时显示为UDP(就是网交提交 POST GET那些)
在测试中 停止监听 在重新运行后 WEB包就抓不到了


2 WSExplorer 1.3.exe

优点: 1 单文件绿色版 带着方便 也不用安装
2 不用Wincap支持
3 可以只抓指定进程 ((渗透)比如上传文件 (破解)看软件执行某个操作后向外发了什么)
4 兼容性也不错 支持 WIN7 2008等系统


缺点: 1 对于大量数据的包 软件就崩溃卡死
(用skype给同事 传个几G的文件 立马白屏)
2 只能先运行 测试体后 刷新列表进程 才能进行抓包

3 有时抓包时 好像突然会卡住


测试体运行前后 再抓包区别很大


3 WSockExpert_Cn(捉包)
优点: 1 绿色版 不用安装 解压就可以使用
2 不用Wincap支持
3 可以只抓指定进程 ((渗透)比如上传文件 (破解)看软件执行某个操作后向外发了什么)

缺点: 1 只能先运行 测试体后 刷新列表进程 才能进行抓包
2 兼容性不太好 不支持vista或WIN7等以上系统

4 那个什么iris eeye组织的作品 呵呵10还是以09年那时因为鬼影的MBR
我找了些资料 发现在05年之前他们发布了相关bookit研究资料(MBR其中之一)

优点：1 可对网卡进行抓包 有过滤机制
2 可先抓包 再运行 测试体
3 功能也很多 eeye组织的作品不会差到哪去
(只是今天刚好在我虚拟机里没法运行 没能得对功能红看 只是凭之前曾经使用过的一点因像)


缺点：1 要Wincap支持 有些管理员做了限制 没法安装Wincap


5 iptool网络抓包分析工具

优点:1 可以对网卡进行捕获 可以通过多种规则进行过滤 比如说 IP 协议(只抓ARP 还是SMTP 还是其它一起)
2 同时显示包的几个形式 查看和分析包也比较方便
3 可先抓包 再运行 测试体
4 还可以根据指定内容 查找包
5 兼容性也不错 支持win7 2008等
6 不用安装wincap

缺点: 1 不能只抓指定进程
2 要Wincap支持 有些管理员做了限制 没法安装Wincap

6 sniffer pro(网络抓包工具)

没用过 可能以前曾经安装过 见软件太大了 最重要是安装后 还缺啥环境运行不了
所以一直以为基本上都没用这个

总结 1 国产的Iptool 综合性能不错
2 IRIS也不错 国外EEYE组织的 不过我很少用
不过并不是因为软件是英文的 而是因为可能之前抓包
大部分用于WEB抓包 或指定操作抓包 基本上都选了支持抓指定进程的工具

3 上面两款可以说是 大炮 WSockExpert WSockExpert 等这些就是小米加步枪了
但他们也有不能忽略的优点 就是均支持 指定进程抓包 这对于渗透或者抓取指定工具
操作时 向外提交了什么包很方便分析 比如说 阿D注入工具 扫描时 提交了什么SQL语句等

4 上面的抓包工具 各有优缺点 请根据自己的实际应用情况 来选择使用哪款 提高工作效力