Ich beobachte Netzwerkverkehr, der auf eine verdächtige Domain gerichtet ist. Obwohl ich die übertragenen Daten nicht sehen oder das Ursprungsprogramm nicht identifizieren kann, habe ich es vorübergehend mithilfe der Hosts-Datei blockiert. Antivirenscans haben keine Malware ergeben.
Gibt es erweiterte Methoden, um die Art der gesendeten Daten und das für diese Verbindungen verantwortliche Programm zu bestimmen?
Die Anfragen erfolgen per Post-Methode und sehen folgendermaßen aus:
http://msdeq.com/api/v1/BFD198B962AB68555B8D480A47FC1942713C454276F4526BBFB1086DBA300436
Antwort1
Auch wenn die Details variieren können, glaube ich, dass es zwei Teile gibt.
Um das Programm zu identifizieren, das dies tut, können Sie netstat verwenden. Ich würde netstat -baf verwenden (b für Binär, a für alle Verbindungen und Abhörports und f für FQDN) und es dann nach einer Weile visuell überprüfen, welches Programm eine Verbindung zu diesem Domänennamen herstellt.
Was die Daten betrifft - Sie können einen Paketfilter verwenden - mein Router lässt mich tcpdump ausführen, aber etwas wie pktmon (nativ für Windows und standardmäßig bereits vorinstalliert) oder Wireshark wäre hilfreich. Da Ihre Verbindungen http sind, inTheorieSie sollten im Klartext vorliegen und interpretierbar sein. Obwohl es nicht direkt anwendbar ist, finden Sie hier ein Beispiel für eine schnelle Analyse vontcpdump-Ausgabe hier- Ich kann mir nicht vorstellen, dass Wireshark und/oder Pktmonzuanders