恶意外联情况监测-火绒、DNSLookupView(联网、禁用网卡、仅主机模式请求测试)

已于 2025-04-14 16:19:13 修改
阅读量165 收藏
点赞数 1
分类专栏: 安全 文章标签: 笔记
于 2025-04-14 15:36:55 首次发布
我是Alsn,那半个橘子是海上遇到大雨时侯的明亮橘色灯塔!
本文链接:https://blog.youkuaiyun.com/Alsn86/article/details/147224122
版权

恶意外联情况监测-火绒、DNSLookupView(联网、断网、仅主机模式时的请求测试)

结论:
联网时:
wireshark、火绒捕获 域名请求、IP请求
DNSLookupView捕获域名请求,无法捕获IP请求

禁用网卡时:
仅DNSLookupView捕获域名请求,无法捕获IP请求。其他工具捕获情况为空

仅主机模式时:
仅DNSLookupView捕获域名请求,无法捕获IP请求。其他工具捕获情况为空

工具准备

下载火绒,打开安全分析工具
在这里插入图片描述
点击开启监控
在这里插入图片描述
打开DNSLookupView工具
在这里插入图片描述

执行请求的方法

点击开始,便会访问目标链接,该exe进程号为5788在这里插入图片描述

联网时的请求情况

DNSLookupView工具,捕获DNS解析记录,未捕获使用IP(http://103.54.xx.xx)直接访问的那条记录,也就是说,该工具仅捕获DNS解析记录
在这里插入图片描述
禁用网卡请求时,也是正常捕获
在这里插入图片描述
火绒点击停止监控后,筛选exe进程号5788
在这里插入图片描述
筛选网络通信
在这里插入图片描述
捕获到exe发出的3条请求,包含域名解析、以及IP直接访问的。结果是全的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Wireshark

wireshark联网抓包情况,可捕获所有请求。
在这里插入图片描述
禁用网卡,直接是抓不到包了

禁用网卡时的请求情况

禁用网卡请求时,DNSLookupView正常捕获请求记录
在这里插入图片描述
禁用网卡请求时,发现火绒无法捕获网络请求记录
在这里插入图片描述

仅主机模式时的请求情况

火绒、wireshark都抓不到。只有DNSLookupview能看到请求记录
在这里插入图片描述

[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含学术探讨)
杨秀璋的专栏
04-26 742
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
应急响应——Linux入侵排查
negnegil的博客
09-16 9237
事件响应可以定义为每当发生计算机或网络安全事件时所采取的行动过程。作为事件响应者,您应该始终了解系统中应该出现和不应该出现的内容。 排查思路 (1)首先监测用户账号安全,比如新增的账号、可疑账号,重点查看可以远程登录的账号以及高权限账号。 (2)利用linux的history指令查看历史linux指令,uptime指令查看登录多久、多少用户。 (3)检查异常端口和进程,netstat检查异常端口,ps检查异常进程,可以观看资源占用的进程id来判断是否有挖矿木马等嫌疑。 (4)检查linux的启动项和系统的
文章阅读:机器学习检测HTTP恶意外连流量
围城
03-21 1371
2020/03/21 - 阅读文章[1]的总结。 [1]这篇文章是,利用层次聚类的方法来聚类恶意外联流量。 恶意外联流量,就是受控主机向控制者发送请求,或者传递信息的流量;针对这种流量的检测方案有两种:1)利用黑名单过滤恶意域名2)利用规则匹配来匹配恶意流量。黑名单的方式无法防止域名变化,规则匹配需要专业人员的分析,难以检测变种的恶意连接。第一个原因,我能理解,但是第二个总感觉他说的不是非常明...
DNS VIEW(智能搭建 主从搭建)
weixin_34347651的博客
03-14 366
2019独角兽企业重金招聘Python工程师标准>>> ...
DNSLookupView.exe
06-13
dns流量分析工具
linux nslookup 解析不到dns_内网智能DNS搭建
weixin_39551554的博客
11-24 1246
DNS智能解析简单的来说就是根据DNS服务器根据客户端请求IP的不同来给客户端返回不同的服务器地址,比如说电信用户访问www.linuxpad.cn的时候DNS服务器会返回给用户电信服务器,网通用户访问www.linuxpad.cn的时候DNS服务器会返回给用户网通服务器,这样就解决了南北用户访问过慢或电信用户访问网通服务器过慢的问题,国内著名的DNSpod实现的也是这样的一个功能,而BIND9自...
DNS域名解析服务
qq_45088125的博客
04-15 1782
文章目录引言一 、BIND域名服务基础1、DNS概念2、DNS系统的作用3、DNS使用的协议及端口号4、域名体系结构5、两种查询方式5.1 递归查询5.2 迭代查询5.3 递归与查询的区别6、DNS域名解析基本过程7、DNS服务器类型7.1 主域名服务器7.2 从域名服务器7.3 缓存域名服务器7.4 转发域名服务器二、BIND的安装和配置文件1、BIND服务2、DNS正向解析实验3、DNS反向解析实验 引言 一 、BIND域名服务基础 1、DNS概念 DNS域名系统(Domain Name System缩
安全-火绒剑独立版-直接执行install.bat即可使用
04-07
2024年3月16日 测试 该工具可用. ****************** 不传无用工具 ****************** 火绒剑独立版-直接执行install.bat即可使用。 最新提取版,无需下载火绒或者旧版本。
强力删除配套--------火绒
05-09
标题中的“强力删除配套--------火绒”指的是火绒安全软件提供的强力删除功能,这是一款针对计算机安全的专业工具,尤其在处理顽固病毒、恶意软件或难以正常卸载的程序方面表现出色。火绒安全软件以其小巧轻便、高效...
sysdiag-full-火绒杀病毒工具
05-12
火绒杀病毒工具
MagicWall-master ( 火绒注入demo ).zip_DEMO_magic wall_内核注入_火绒注入_驱动注入
07-14
压缩包中的"MagicWall-master ( 火绒注入demo )"文件可能包括源代码、编译脚本、测试案例和其他相关文档,这些资源可以帮助开发者学习和实践火绒注入技术。通过研究这些材料,你可以了解到如何设计和实现一个安全、...
使用DNSObserver检测DNS相关的安全漏洞
focus on security
05-18 300
DNSObserver是个功能强大的DNS服务,可以帮助我们检测各种类型的盲注漏洞。 它可以监控渗透测试人员所搭建服务器的带外DNS交互信息,并通过Slack发送查询通知。 DNSObserver可以帮助我们寻找的漏洞包括操作系统给盲注漏洞、SQL盲注漏洞和XXE盲注漏洞等。 安装 1. 注册一个自己的域名。 2. 搭建一台虚拟专用服务器VPS来运行脚本。 3. Slack工作空间和一个Webhook。 域名和DNS配置 如果你还没有自己的虚拟专用服务器,可以使用你熟悉的服务提供商创建.
DNS服务器简单配置和view实现
weixin_34341117的博客
12-12 316
简介: DNS服务器的作用就是就好比生活中的电话簿、114查号台一样,为各种网络程序找到对应目标主机的IP地址或对应的主机域名。 DNS系统的作用: 正向解析:根据主机名称(域名)查找对应的IP地址(实际应用中最多的) 反向解析:根据IP地址查找对应的主机域名(不常用,一般用于搭建邮件服务器时。) 根据服务器与所提供域名解析记录的关系,...
常用cmd命令——nslookup命令
Earl_86
02-06 3529
用于查询IP地址: nslookup最简单的用法就是查询域名对应的IP地址,包括A记录和CNAME记录,如果查到的是CNAME记录还会返回别名记录的设置情况。其用法是:nslookup 域名 nslookup命令会采用先反向解释获得使用的DNS服务器的名称,注意即使主机没有在线同样能够返回结果。查询其他类型的域名 1, 默认情况下nslookup查询的是A类型的记录。如果我们配置了其他类型的记录希...
基于网站html文件查找恶意外链
x3_0uy的博客
10-19 924
基于网站html文件查找恶意外链-初阶 0x00 前言 恶意外链存在形式多样,并没有一个具体的界限,查找思路也万千,这里只阐述对于已拿到的网站源文件,如何进行恶意外链提取。 本文以某门户网站为例。该门户网站整体业务迁徙,而历史遗留的恶意外链仍然存在。针对这一点,对于整个门户网站进行恶意外链排查。 0x01 思路 其一,通过分析发现,恶意外链对应IP多数位于境外。IP位于境外不一定是恶意外链。 其二,恶意外链存在来源页面,基本上位于html文件内。非html文件也可能存在url。 思路:提取整个网站存在的ur
控制 非法外联 和 非法接入 相关技术
缘点的博客
05-04 4074
企事业单位在内网和外网出口处,一般都安装了防火墙和入侵检测设备等对内网提供保护,对于涉密网络,甚至严格规定不允许连接互联网等外网。但是,非法外联和非法接入等行为,很容易破坏网络出口的唯一性等管理规定,造成重大的安全隐患。 面临的威胁: 内部人员通过 Modem 拨号、 ADSL 拨号和手机无线拨号等方式,非法外联,造成网关安全系统失效,可能带来病毒感染、违法信息发布以及敏感信息泄密等行为发生; ...
Python学习笔记(三)(程序流程控制)
最新发布
wsys_yysn的博客
04-24 838
条件语句:通过实现分支逻辑。循环语句for遍历序列,while满足条件时循环。流程控制break终止循环,continue跳过当前迭代,pass占位。异常处理保证程序健壮性。掌握这些流程控制工具,可以编写更灵活、高效的 Python 程序!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值