對幾款網路抓包工具的評測，幾款工具評測

對幾款網路抓包工具的評測，幾款工具評測
對幾款網路抓包工具的評測 by 拉登哥哥

最近在寫個CMD遠控 寫著寫著 想在服務端上做點手腳
都知道殺軟誤判 特別是黑軟大部分都報毒 但實際上是正常的
對此可能部分人並不裝殺軟 基本上靠自己分析軟體是否安全

1 低級點的 用相關工具 檢測不能真的完全保證程式無毒  也沒啥技術含量
  原因是 可能你正在檢測時 後門沒啟用（比如 我設定晚上12點才向外串連等）
  你在白天或其它時間檢測我的工具 可能沒發現任何異常 晚上你開工具做事的時候
  後門也跟著啟用了 哈哈 這方法 實際中還真有人這麼看 以前某個木馬
  檢測到當前機器是2003的話 就往作者郵箱發送一些伺服器相關資訊 供他黑吃黑

2 進階的 自己破解 脫殼 反編譯器 直接殺進去分析代碼
  軟體調用什麼函數 做了什麼事情 全都一目瞭然 分析結果也會比較準確 也有技術
  這樣也比較浪費時間 就算會 一般也不會 經常這樣到處在分析 (病毒分析師除外)

現在我想在服務端上做點手腳 躲過 常用抓包工具 因為要用到幾個抓包工具
所以 順便對比做個評測  給不太瞭解抓包工具的 參考參考 有錯的地方 請大牛指正

部分 工具可以到 E:\CrAcK8工具包2012\安全檢測 裡面找到

1 MiniSinffer
優點：1 單檔案綠色版可以監控到所有流量資訊
      2 可以在 對測試體 運行前 開啟抓包工具
      3 用skype給同事 傳個幾G的檔案 照樣抓出一堆包
      
缺點：1 不能只對指定進程（太多包的話 不易分析）
      2 抓WEB包時顯示為UDP(就是網交提交 POST GET那些)
        在測試中 停止監聽 在重新運行後 WEB包就抓不到了


2 WSExplorer 1.3.exe

優點: 1 單檔案綠色版 帶著方便 也不用安裝
      2 不用Wincap支援
      3 可以只抓指定進程 ((滲透)比如上傳檔案 (破解)看軟體執行某個操作後向外發了什麼)
      4 相容性也不錯 支援 WIN7 2008等系統


缺點: 1 對於大量資料的包 軟體就崩潰卡死
        (用skype給同事 傳個幾G的檔案 立馬白屏)
      2 只能先運行 測試體後 重新整理列表進程 才能進行抓包
 
      3 有時抓包時 好像突然會卡住
     

測試體運行前後 再抓包區別很大


3 WSockExpert_Cn(捉包)
優點: 1 綠色版 不用安裝 解壓就可以使用
      2 不用Wincap支援
      3 可以只抓指定進程 ((滲透)比如上傳檔案 (破解)看軟體執行某個操作後向外發了什麼)

缺點: 1 只能先運行 測試體後 重新整理列表進程 才能進行抓包
      2 相容性不太好 不支援vista或WIN7等以上系統

4 那個什麼iris  eeye組織的作品 呵呵10還是以09年那時因為鬼影的MBR
我找了些資料 發現在05年之前他們發布了相關bookit研究資料(MBR其中之一)

優點：1 可對網卡進行抓包 有過濾機制
      2 可先抓包 再運行 測試體
      3 功能也很多 eeye組織的作品不會差到哪去
        (只是今天剛好在我虛擬機器裡沒法運行 沒能得對功能紅看 只是憑之前曾經使用過的一點因像)
      

缺點：1 要Wincap支援 有些管理員做了限制 沒法安裝Wincap


5 iptool網路抓包分析工具

優點:1 可以對網卡進行捕獲 可以通過多種規則進行過濾 比如說 IP 協議(只抓ARP 還是SMTP 還是其它一起)
     2 同時顯示包的幾個形式 查看和分析包也比較方便
     3 可先抓包 再運行 測試體
     4 還可以根據指定內容 尋找包
     5 相容性也不錯 支援win7 2008等
     6 不用安裝wincap

缺點: 1 不能只抓指定進程
      2 要Wincap支援 有些管理員做了限制 沒法安裝Wincap

6 sniffer pro(網路抓包工具)

沒用過 可能以前曾經安裝過  見軟體太大了 最重要是安裝後 還缺啥環境運行不了
所以一直以為基本上都沒用這個

總結 1 國產的Iptool 綜合效能不錯
     2 IRIS也不錯 國外EEYE組織的 不過我很少用
       不過並不是因為軟體是英文的 而是因為可能之前抓包
       大部分用於WEB抓包 或指定操作抓包 基本上都選了支援抓指定進程的工具

     3 上面兩款可以說是 大炮  WSockExpert WSockExpert 等這些就是小米加步槍了
       但他們也有不能忽略的優點 就是均支援 指定進程抓包 這對於滲透 或者抓取指定工具
       操作時 向外提交了什麼包很方便分析 比如說 阿D注入工具 掃描時 提交了什麼SQL語句等

     4 上面的抓包工具 各有優缺點  請根據自己的實際應用情況 來選擇使用哪款 提高工作效力