我观察到指向可疑域的网络流量。虽然我看不到正在传输的数据或识别原始程序,但我已使用 hosts 文件暂时阻止了它。防病毒扫描未发现任何恶意软件。
是否有先进的方法来确定发送的数据类型和负责这些连接的程序?
请求采用 post 方法,如下所示:
http://msdeq.com/api/v1/BFD198B962AB68555B8D480A47FC1942713C454276F4526BBFB1086DBA300436
答案1
虽然细节可能有所不同 - 我认为这有两个部分
要识别执行此操作的程序 - 您可以使用 netstat。我会使用 netstat -baf(b 表示二进制,a 表示所有连接和侦听端口,f 表示 FQDN),然后在运行一段时间后目视检查哪个程序正在连接到该域名。
至于什么数据 - 你可以使用数据包过滤器 - 我的路由器会允许我运行 tcpdump,但像 pktmon(Windows 原生且已默认预安装)或 wireshark 之类的程序会很有帮助。由于你的连接是 http,因此理论它们应该是明文的,并且可解释。虽然它可能不直接适用,但你可以找到一个快速分析的示例tcpdump 输出在这里- 我无法想象 wireshark 和/或 pktmon也不同的