我正在觀察指向可疑網域的網路流量。雖然我看不到正在傳輸的資料或識別原始程序,但我已使用主機檔案暫時阻止了它。防毒掃描未發現任何惡意軟體。
是否有高級方法來確定正在發送的資料類型以及負責這些連接的程序?
請求是 post 方法,如下所示:
http://msdeq.com/api/v1/BFD198B962AB68555B8D480A47FC1942713C454276F4526BBFB1086DBA300436
答案1
雖然細節可能有所不同 - 我認為這有兩個部分
若要識別正在執行此操作的程式 - 您可以使用 netstat。我會使用 netstat -baf (b 表示二進位文件,a 表示所有連接和偵聽端口,f 表示 FQDN),然後運行一段時間後目視檢查哪個程式正在連接到該網域。
至於什麼資料 - 您可以使用資料包過濾器 - 我的路由器將允許我運行 tcpdump,但像 pktmon (Windows 原生且預設情況下已預先安裝)或wireshark 之類的東西會有所幫助。由於您的連線是http,在理論它們應該是明文且可解釋的。雖然它可能不直接適用,但您可以找到快速分析的範例tcpdump 輸出在這裡- 我無法想像wireshark和/或pktmon是也不同的