转载自FreeBuf.COM

EKFiddle是一个基于Fiddler web debugger的,用于研究漏洞利用套件、恶意软件和恶意流量的框架。

安装

下载并安装最新版本的Fiddler

https://www.telerik.com/fiddler

适用于Linux和Mac的特别说明:

https://www.telerik.com/blogs/fiddler-for-linux-beta-is-here

https://www.telerik.com/blogs/introducing-fiddler-for-os-x-beta-1

启用C#脚本 (仅限Windows)

启动Fiddler,然后进入Tools -> Options

在Scripting选项中,将默认(JScript.NET)更改为C#。

更改默认文本编辑器(可选)

同样,在Tools -> Options菜单,点击Tools选项。

Windows:notepad.exe或notepad++.exe

Linux::gedit

Mac:/Applications/TextEdit.app或/Applications/TextWrangler.app

关闭Fiddler

根据你的操作系统将CustomRules.cs下载或克隆到适当的文件夹中:

Windows (7/10) C:\Users\[username]\Documents\Fiddler2\Scripts\

Ubuntu /home/[username]/Fiddler2/Scripts/

Mac /Users/[username]/Fiddler2/Scripts/

完成安装

启动Fiddler完成EKFiddle的安装。

特性

工具栏按钮

添加的工具栏按钮为你提供了一些主要功能的快捷键:

快速保存

将当前Web会话命名为(QuickSave-”MM-dd-yyyy-HH-mm-ss”.saz) 转储到SAZ并保存在EKFiddle\Captures目录下。

VPN

VPN GUI直接内置于Fiddler中。它使用Windows和Linux上的OpenVPN客户端与ovpn文件(可能需要与商业VPN提供商合作)。无论何时通过所选的.ovpn配置文件连接到新服务器,它都会打开一个新的terminal/xterm,kill前一个以确保只使用一个TAP适配器。

Windows

在默认目录下载并安装OpenVPN

将你的.ovpn文件放入OpenVPN的config文件夹中。

Linux(在Ubuntu 16.04上测试)

sudo apt-get install openvpn

将你的.ovpn文件放在/etc/openvpn中。

导入AZ/PCAP

加载SAZ(Fiddler本机格式)或PCAP(即Wireshark)捕获的快捷方式。

查看/编辑正则表达式

查看并创建你的自定义正则表达式。注意:主列表通过GitHub自动更新。此外,自定义列表可让你创建自己的规则。

运行正则表达式

针对当前Web会话运行主控和自定义正则表达式。

清除标记

清除当前加载会话中的任何注释和颜色高亮显示。

高级UI on/off

在默认列视图或额外列之间切换附加信息(包括时间戳、服务器IP和类型、方法等)。

上下文菜单

上下文菜单(右键单击任何会话)可以在选定的部分上执行附加命令。这对于快速查找、计算散列或提取IOCS非常有用。

主机名或IP地址(Google搜索, RiskIQ, URLQuery, RiskIQ)

查询当前选定会话的主机名。

URI

构建正则表达式

从当前选择的URI创建一个正则表达式。此操作打开了一个正则表达式网站,这个URI已经存在于剪贴板中,随时可以粘贴到查询字段中。

打开…Internet Explorer,Chrome,Firefox,Edge

这将打开你选择的浏览器的URI。

响应体

解码

解码当前选定的会话(从它们的基本编码)。

构建正则表达式

从当前选定的会话源代码创建正则表达式。此操作打开了一个正则表达式网站,这个URI已经存在于剪贴板中,随时可以粘贴到查询字段中。

计算MD5/SHA256 hash

获取当前会话的主体并计算其散列。

混合分析/VirusTotal查找

检查当前会话的主体散列,然后查找散列。

提取到磁盘

将当前选择的会话的主体下载到磁盘“Artifacts”文件夹中。

提取IOCs

将选定会话的基本信息复制到内存中,以便它们可以作为IOCs共享。

点连接

允许你识别会话之间的事件序列。右键单击你感兴趣的会话,然后单击“连接点”。它将从01开始标记事件序列到n。你可以重新排序该列以获得序列的缩略视图。

爬虫

从文本文件中加载URL列表,并让浏览器自动访问它们。Tools -> Crawler (experimental) -> Start crawler 可能需要在浏览器的设置中进行一些调整,特别是关于IE的崩溃恢复(crash recovery)。

卸载EKFiddle

删除 CustomRules.cs

*参考来源:GitHub,FB小编 secist 编译,转载自FreeBuf.COM

EKFiddle:基于Fiddler研究恶意流量的框架的更多相关文章

  1. 基于Jmeter和Testlink的自动化测试框架研究与实施

    关于测试框架搭建的详细过程,会在另一篇文章中详细介绍:http://www.cnblogs.com/leeboke/p/6145977.html 摘 要 目前基于Jmeter的接口自动化测试框架,大多 ...

  2. 识别TLS加密恶意流量

    利用背景流量数据(contexual flow data)识别TLS加密恶意流量 识别出加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间 ...

  3. 利用背景流量数据(contexual flow data) 识别TLS加密恶意流量

    识别出加密流量中潜藏的安全威胁具有很大挑战,现已存在一些检测方法利用数据流的元数据来进行检测,包括包长度和到达间隔时间等.来自思科的研究人员扩展现有的检测方法提出一种新的思路(称之为“dataomni ...

  4. 转-基于NodeJS的14款Web框架

    基于NodeJS的14款Web框架 2014-10-16 23:28 作者: NodeJSNet 来源: 本站 浏览: 1,399 次阅读 我要评论暂无评论 字号: 大 中 小 摘要: 在几年的时间里 ...

  5. 从Theano到Lasagne:基于Python的深度学习的框架和库

    从Theano到Lasagne:基于Python的深度学习的框架和库 摘要:最近,深度神经网络以“Deep Dreams”形式在网站中如雨后春笋般出现,或是像谷歌研究原创论文中描述的那样:Incept ...

  6. 基于Mongodb的轻量级领域驱动框架(序)

    混园子也有些年头了,从各个大牛那儿学了很多东西.技术这东西和中国的料理一样,其中技巧和经验,代代相传(这不是舌尖上的中国广告).转身回头一望,几年来自己也积累了一些东西,五花八门涉猎到各种方向,今日开 ...

  7. 基于特定领域国土GIS应用框架设计及应用

              基于特定领域国土GIS应用框架 设计及应用              何仕国 2012年8月16日   摘要: 本文首先讲述了什么是框架和特定领域框架,以及与国土GIS 这个特定领 ...

  8. 基于PU-Learning的恶意URL检测——半监督学习的思路来进行正例和无标记样本学习

    PU learning问题描述 给定一个正例文档集合P和一个无标注文档集U(混合文档集),在无标注文档集中同时含有正例文档和反例文档.通过使用P和U建立一个分类器能够辨别U或测试集中的正例文档 [即想 ...

  9. 基于NodeJS的14款Web框架

    摘要: 在几年的时间里,Node.js逐渐发展成一个成熟的开发平台,吸引了许多开发者.有许多大型高流量网站都采用Node.js进行开发,像PayPal, 此外,开发人员还可以使用它来开发一些快速移动W ...

随机推荐

  1. flask读书笔记-flask web开发

    在应用启动过程中, Flask 会创建一个 Python 的 logging.Logger 类实例,并将其附属到应用实例上,通过 app.logger 访问 ===================== ...

  2. MySQL添加foreign key时出现1215 Cannot add the foreign key constraint

    引言: MySQL中经常会需要创建父子表之间的约束,这个约束是需要建立在主外键基础之上的,这里解决了一个在创建主外键约束过程中碰到的一个问题. mysql中添加外键约束遇到一下情况: cannot a ...

  3. BZOJ 1458 / Luogu P4311 士兵占领 (上下界最小流 / 直接最大流)

    做法1:上下界最小流 先来一发上下界最小流,思路比较暴力,就是把行和列看作n+mn+mn+m个点,(i,j)(i,j)(i,j)如果能占领就从第iii行向第jjj列连一条边,上界为1下界为0;然后从s ...

  4. C语言学习系列(五)变量和常量

    一.常量 定义:在程序运行中,其值不能改变的量称为常量 分类:常量可以是任何的基本数据类型,比如整数常量.浮点常量.字符常量,或字符串字面值,也有枚举常量. 在 C 中,有两种简单的定义常量的方式: ...

  5. .Net Core:Middleware自定义中间件

    新建standard类库项目,添加引用包 Microsoft.AspNetCore 1.扩展IApplicationBuilder using Microsoft.AspNetCore.Builder ...

  6. js里url里有特殊字符(如&)情况,后台request.getParameter("url")里&变成&

    js:encodeURIComponent(url) //用encodeURIComponent转码 java后台:用java.net.URLDecoder.decode((request.getPa ...

  7. 四十九. Zabbix报警机制 、 Zabbix进阶操作 、 监控案例

    案例1:实现Zabbix报警功能 案例2:Zabbix自动发现 案例3:Zabbix主动监控 案例4:拓扑图与聚合图形 案例5:自定义监控案例 1 案例1:实现Zabbix报警功能 1.1 问题 沿用 ...

  8. Luogu5327【ZJOI2019】语言【树上差分,线段树合并】

    题目大意 给定一棵$n$个节点的树,维护$n$个集合,一开始第$i$个集合只有节点$i$.有$m$个操作,每次操作输入一个$(u,v)$,表示将$(u,v)$这条链上所有点所属的集合合并.求有多少个无 ...

  9. React前端开发环境搭建

    先,我们需要明确的是React和很多前端框架一样,底层都还是js以及html,即便它有着看似特殊的jsx语法. 我们要在服务端运行js,就需要依赖一个环境,和运行war包需要tomcat一类中间件一样 ...

  10. IdentityServer4入门一

    这几天学习IdentityServer4,感觉内容有点乱,也可能自己水平有限吧.但为了巩固学习的内容,也打算自己理一下思路. 首先IdentityServer解决什么问题? 下图是我们的一个程序的组织 ...