Я наблюдаю сетевой трафик, направленный на подозрительный домен. Хотя я не могу видеть передаваемые данные или идентифицировать исходную программу, я временно заблокировал ее с помощью файла hosts. Антивирусное сканирование не выявило никаких вредоносных программ.
Существуют ли современные методы определения типа отправляемых данных и программы, отвечающей за эти соединения?
Запросы выполняются методом post и выглядят следующим образом:
http://msdeq.com/api/v1/BFD198B962AB68555B8D480A47FC1942713C454276F4526BBFB1086DBA300436
решение1
Хотя детали могут различаться, я думаю, что здесь есть две части.
Чтобы определить, какая программа это делает, можно использовать netstat. Я бы использовал netstat -baf (b для двоичного, a для всех подключений и прослушивающих портов и f для FQDN), затем после некоторого времени работы визуально проверьте, какая программа подключается к этому доменному имени.
Что касается данных - вы можете использовать пакетный фильтр - мой маршрутизатор позволит мне запустить tcpdump, но что-то вроде pktmon (родной для Windows и уже предустановленный по умолчанию) или wireshark было бы полезно. Поскольку ваши соединения http, втеорияони должны быть в открытом тексте и интерпретируемыми. Хотя это может быть не применимо напрямую, вы можете найти пример быстрого анализавывод tcpdump здесь- Я не могу себе представить, что Wireshark и/или pktmon могут бытьслишкомдругой