现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

前言

客户端-->服务器

发送TST字段

发送verison

交互过程中一共发送的流量包(客户端-->服务端)

服务器向客户端发送：（发送一次版本的md5）

可以看到后续通信流量均为明文

魔改版本nps介绍

(1) 特征替换

这里简单来说就是明显特征替换，这里可以看下nps的认证过程。这里客户端向服务器发送了两次version的值，如果这个时候，我们把这个值改为其他值特定值，是否就可以达到流量混淆呢？？？

(2) 免杀环境检测

主要是通过以下功能来进行检测。

cpu检测注册表检测特定文件检测内核检测

(3) 流量协议重做

原版的nps是的认证协议，是通过客户端发送特定字段来与服务端进行的c/s认证，而认证过程均为明文进行显示，所以的话，也是比较好进行分析和溯源的，所以的话，这里我基于原版的nps进行魔改。

魔改后检测

通信流量

某社区☁️沙箱

virustotal

windows defender（静态）

windows defender（动态）

客户端

配置文件启动

喜欢的话记得点点?哦

https://github.com/Q16G/npsmodify

✅ 2023.5.20 把连接流量进行混淆，仅仅支持客户端命令行启动，未支持conf文件启动

✅ 2023.5.21 支持本地config文件加载

✅ 2023.5.23 支持config文件仅从服务端拉取

✅ 2023.5.30 重新修改流量，进行了深度混淆

文章来源：奇安信攻防社区（Q16G）原文地址：https://forum.butian.net/share/2284

 还在等什么？赶紧点击下方名片开始学习吧！

推 荐 阅 读