前言 大部分的国产ddos集群都是这种通讯方式，还有一种是用gh0st的. 本人并不懂c艹，如有错误欢迎指正. 正文 这些木马的通讯其实非常简单，连加密都有没有加密。先是解密域名和端口，然后直接建立一个tcp socket，然后获取系统信息，打包进msghead这个结构体里. 然后直接发送，没有任何加密，就是这么朴实无华. 只要你一直保持着连接，客…

根据上面这张图，我们可以知道这些数据是3月5日被挂上暗网的，数据是2019年中左右抓取的. 既然是19年中左右抓取的，他总不可能一直把数据藏着掖着到20年3月5日才出售吧. 在19年11月之前，这些微博数据其实已经可以查询了.不过并没有引起别人的注意.