聊一聊 CS 4.1
最近 CS4.1 发了 关于那个 后门 让我们来看看。
被控上线,都说被控有外链我这里提前在测试机上抓了包,我们先看看网络连接
可以看到有两个外链打码那个是我开的 VPS,现在我们来看看提前开开的 Wireshark 看看他抓到了那些请求,过滤一下 IP 只看我们想看的
可以看到 url 很明显是 http 包,我这里直接把链接复制下来了。
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
就是这个链接,我们先去看看域名,
可以看到域名属于微软(废话猜也能猜到),那么这个 url 是干嘛的呢?
其实微软也有说:https://support.microsoft.com/zh-cn/help/2677070/an-automatic-updater-of-untrusted-certificates-is-available-for-window,简单来说就是 windows 更新受信任的根证书列表(因为这个证书的根证书不在 windows 现有根证书列表所以要先更新一下)去验证你这个 https 证书是否是真的。
如有错误欢迎指正。
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
上一篇: 关于反射 dll 修补
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论