一、大马后门分析
1.1检测是否有后门
1.输入大马密码登录时火狐浏览器的网络url地址处有访问其他网站就是后门
2.抓包方式
3.通过查找代码中的登录关键字例如“非法登录”等,发现这段代码是经过加密的,于是把函数execute改为msgbox进行解密
1.2分析后门代码
解密代码后示例如下,万能密码后门
二、菜刀后门分析
使用WSockExpert等针对进程抓包软件,新建一条中国菜刀记录,设置抓包软件选择监听程序,使用菜刀打开webshell,获取抓包数据,整体过一遍看是否有明显后门地址,没有的话对url数据进行解码