疑わしいドメインに向けられたネットワーク トラフィックを観察しています。送信されているデータを確認したり、発信元のプログラムを特定したりすることはできませんが、hosts ファイルを使用して一時的にブロックしました。ウイルス対策スキャンではマルウェアは検出されませんでした。
送信されるデータの種類とこれらの接続を担当するプログラムを判断する高度な方法はありますか?
リクエストは post メソッドであり、次のようになります。
http://msdeq.com/api/v1/BFD198B962AB68555B8D480A47FC1942713C454276F4526BBFB1086DBA300436
答え1
詳細は異なるかもしれないが、これには2つの部分があると思う
これを実行しているプログラムを識別するには、netstat を使用できます。私なら、netstat -baf (b はバイナリ、a はすべての接続とリスニング ポート、f は FQDN) を実行し、しばらく実行した後、どのプログラムがそのドメイン名に接続しているかを視覚的に調べます。
データについては、パケットフィルターを使用できます。私のルーターではtcpdumpを実行できますが、pktmon(Windowsにネイティブで、デフォルトでプリインストールされている)やwiresharkのようなものが役立ちます。接続がhttpであるため、理論平文で解釈可能なものでなければなりません。直接適用できるものではないかもしれませんが、簡単な分析の例を見つけることができます。tcpdumpの出力はこちら- Wiresharkやpktmonがあまりにも違う