我正在查看受恶意软件感染的计算机的某些流量的数据包捕获,我应该从哪里开始查找恶意软件机器人试图联系的服务器程序?
答案1
对于 Windows,请参阅此堆栈溢出问题. TLDR 摘要:netstat -b列出所有端口及其进程名称。
对于 Linux,netstat -tulpn为您提供所有监听端口,并netstat -tupn提供所有传出端口和相关 PID。以 root 身份运行这些命令。请参阅视频演示。
您只需要找出恶意软件从哪个端口进行通信。在 Wireshark 中,这是数据包捕获中显示“adobeserver-2”或“adobeserver-1”的部分。Wireshark 显示这些名称而不是实际端口号,以便让用户了解端口通常用于什么用途。要获取真实的端口名称,请按所述禁用此功能在 Wireshark Ask 网站上。
或者,参见如何确定Wireshark中记录的数据包是由哪个程序发送的?建议使用不同的程序来完成此任务。