分析：1，现在有一段被getshell的流量，需要找出黑客都做了些什么。流量大概可以分成两种，http和tcp。先看http。2，发现蚁剑流量，所以先把蚁剑的执行命令先全部找出来。蚁剑流量过滤：##(过滤请求包)http.request.urimatches"product2.php.*"&&http.request.method=="POST"##(过