使用netcat“复活”样本通讯
后门型样本必须保证能和C2通信,才会执行后续功能,那么可以使用netcat模仿C2服务器,来与样本进行通信。
具体步骤如下
使用一台虚拟机当作服务器,这里使用win7当作服务器,使用win10来分析样本。
让两台虚拟机的网络都使用同一个网卡,然后使用仅主机模式;
将win7这台服务器的IP修改成样本通讯IP,win10这台主机修改成和win7同一个网段,然后保证二者之间可以相互ping通。
开启netcat,监听样本通信端口,命令是比如“-l -v -p 7000”
等到样本连接服务器的时候,就可以使用netcat接管样本信息交换了。
