先通過網絡數據包進行預判分析,網絡數據包裡面會夾雜大量的數據,如何通過數據包分析判斷位終端是否感染了惡意程序,可以通過以下三個方面進行綜合判斷:
1.對應用場景及IP地理位置進行分析
分析:數據包來自某三甲醫院,不存在需要大量訪問國外域名的情況,大量訪問國外域名,可以判斷存在訪問異常的情況。
2.對域名會話情況進行分析
分析:上圖表明客戶端與服務器之間TCP會話建立失敗(三次握手失敗),下圖表明客戶端在TCP建立連接失敗的情況下,還有大量的訪問,可以判斷是由程序或腳本發起的訪問,而非人為訪問。
3.對客戶端訪問的域名進行情報分析
客戶端域名訪問情況如下:
分析:通過域名情報網站(本次使用微步在線 https://x.threatbook.cn/)對域名進行分析,發現存在訪問惡意域名的情況,分析結果見下圖:
經過網絡數據包三方面的分析,基本可以判斷以上終端感染了惡意程序,通過病毒檢查來做最終確認。
1.對終端進行查殺,確認終端確實惡意程序,查殺結果見下圖:
分享到:
閱讀更多 講鬼故的IT男 的文章
