没有找到合适的图片
最近CS4.1发了 关于那个“后门”让我们来看看
被控上线,都说被控有外链我这里提前在测试机上抓了包
我们先看看网络连接
可以看到有两个外链打码那个是我开的VPS
现在我们来看看提前开开的Wireshark看看他抓到了那些请求
过滤一下IP只看我们想看的
可以看到url很明显是http包
我这里直接把链接复制下来了
http://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab
就是这个链接,我们先去看看域名
可以看到域名属于微软(废话猜也能猜到),那么这个url是干嘛的呢
其实可以微软也有说
https://support.microsoft.com/zh-cn/help/2677070/an-automatic-updater-of-untrusted-certificates-is-available-for-window
简单来说就是windows更新受信任的根证书列表(因为这个证书的根证书不在windows现有根证书列表所以要先更新一下)去验证你这个https证书是否是真的
如有错误欢迎指正