의심스러운 도메인으로 향하는 네트워크 트래픽을 관찰하고 있습니다. 전송되는 데이터를 볼 수 없고 원본 프로그램을 식별할 수 없지만 호스트 파일을 사용하여 일시적으로 차단했습니다. 바이러스 백신 검사에서는 악성 코드가 발견되지 않았습니다.
전송되는 데이터 유형과 이러한 연결을 담당하는 프로그램을 결정하는 고급 방법이 있습니까?
요청은 게시 방법이며 다음과 같습니다.
http://msdeq.com/api/v1/BFD198B962AB68555B8D480A47FC1942713C454276F4526BBFB1086DBA300436
답변1
세부 사항은 다를 수 있지만 두 가지 부분이 있다고 생각합니다.
이 작업을 수행하는 프로그램을 식별하려면 netstat를 사용할 수 있습니다. netstat -baf(바이너리의 경우 b, 모든 연결 및 수신 포트의 경우 a, FQDN의 경우 f)를 사용한 다음 잠시 실행한 후 어떤 프로그램이 해당 도메인 이름에 연결되어 있는지 시각적으로 검사합니다.
어떤 데이터에 관해서는 패킷 필터를 사용할 수 있습니다. 내 라우터에서 tcpdump를 실행할 수 있지만 pktmon(Windows에 기본이며 기본적으로 이미 사전 설치되어 있음) 또는 Wireshark와 같은 것이 도움이 될 것입니다. 연결이 http이므로이론일반 텍스트로 작성되어야 하며 해석이 가능해야 합니다. 직접적으로 적용할 수는 없지만 다음 사항에 대한 빠른 분석의 예를 찾을 수 있습니다.여기서 tcpdump 출력- Wireshark 및/또는 pktmon이 존재하는 것은 상상할 수 없습니다.~도다른