冰蝎魔改特征汇总

1. Accept 字段特征

冰蝎在通信过程中通常携带如下 Accept 请求头：

Accept: application/json, text/javascript, */*; q=0.01

这是其默认通信行为的关键标志之一。

2. User-Agent 字段特征

冰蝎内置了 10种User-Agent，在每次连接 WebShell 时会随机选择一个，以增加流量多样性与逃避检测。示例（非全部）：

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)
...

3. Content-Type 字段特征

根据目标站点类型不同，冰蝎在请求中会设置不同的 Content-Type：

• PHP站点：

  Content-Type: application/x-www-form-urlencoded

• ASP站点：

  Content-Type: application/octet-stream

4. 魔改与反编译方向建议

通过反编译与魔改，可尝试绕过常规检测手段：

• 修改 Accept 字段格式或顺序。
• 扩展/替换默认 User-Agent 列表，或模拟正常浏览器访问。
• 更改 Content-Type 为自定义值或使用常规浏览器的上传格式。
• 加密传输体数据结构或改变通信逻辑顺序。

• 插入冗余参数或字段以掩盖有效载荷。

  

⚠️ 注意：本信息用于研究与防御目的，请勿用于非法用途。