使用Wireshark (Ethereal)截包找出感染威金(viking)病毒的机器

最新推荐文章于 2024-05-15 13:16:33 发布
最新推荐文章于 2024-05-15 13:16:33 发布
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 服务器 杀毒软件 filter dos exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/bill_lee_sh_cn/article/details/2413019

      单位的实验室由于机器众多又没有统一的管理,经常有个别机器忘了安装杀毒软件而感染威金病毒,一旦某台机器感染,文件服务器上开放写权限的目录就成为了最大的受害者,_desktop.ini文件到处都是,被感染的exe文件被其他人使用后使得病毒迅速扩散。这几天打印机也被病毒害得莫名其妙地打出只有日期的纸。       

       为了找到病毒散布的源头,根据威金病毒新建_desktop.ini文件的特点,可以采用如下方法:       

        首先删除文件服务器上开放写权限的目录上所有的_desktop.ini文件,可采用dos命令

del _desktop.ini ////f

        因为如果不删除这些文件的话,威金病毒不会重新去新建这些文件,从而截获不到新建文件的数据包。

        然后在文件服务器上启动Wireshark (Ethereal),在filter中输入

smb.cmd == 0xa2 and smb.file =="_desktop.ini"

        其中0xa2表示新建文件。

         剩下的就是等待了。

一头老毅
关注
一站式讲解Wireshark网络抓分析的若干场景、过滤条件及分析方法
dvlinker的技术专栏
10-17 5万+
本文详细讲解常用的抓工具、抓分析的网络场景、分析抓时的多种过滤条件以及如何结合常用的协议去分析排查问题,给大家提供一个借鉴或参考。
使用 wireshark 抓 USB
tyustli
12-31 2255
wireshark和硬件抓对比结果可以明显看到差距,硬件抓还是比较强的,wireshark 只能辅助看下。安装好之后打开 wireshark,首页会有如下选项(如果没有这个选项,在 捕获->刷新接口列表 刷新一下即可 F5)使用 wireshark 抓 USB 的,安装的时候需要勾选这里,其他安装选项按需安装即可。2.24.0 对应的含义。这里只抓新插入的设备。
Wireshark揪出校园网络中的蠕虫病毒.pdf
12-10
我们可以使用一款网络协议分析工具—— W ireshark 来 找 出 校 园 网 内 感 染 了 蠕 虫 病 毒 的 计 算 机 。 图 2 W i reshark的前 身 是 Etherea1,它 非 常 小巧 , 免费 要 停 止 取 数 据 时 , 单 击 图 1 所 示 界 面 中 的 而 且开 源 。接 下 来介 绍 一 下 用 w i r e sha rk查 找病 毒
病毒工具-Wireshark
KD的疯狂实验室
06-16 1298
WireShark简介 Wireshark是最流行的开源网络嗅探器之一,能在多种平台上抓取和分析......反病毒工程师通常
wireshark实战-flag被盗溯源
TianYao
04-10 6110
wireshark实战-flag被盗溯源一,中国菜刀数据制作1.中国菜刀工具2.劫持http数据二、分析数据方法一:三、相关预告 相关文章链接: 5分钟彻底扫除TCP/IP协议学习障碍-wirshark使用详解 wireshark 捕获过滤器入门进阶 - CaptureFilters 一,中国菜刀数据制作 1.中国菜刀工具 中国菜刀工具可以移步官网下载 2.劫持http数据 官网有...
使用Wireshark查看局域网内安全问题
03-10 313
  早就听说过局域网的安全性有问题,但是也一直没放在心上,祥子是计算机专业毕业的,平时上网行为很规矩,从不上那些乱七八糟的网站,小方格子里有自己专用的电脑,里面装着网络版的杀毒软件,定时更新病毒库,系统里装着360安全卫生,系统的漏洞啊、补丁啊什么的都堵上和补上了,这样在局域网还能不安全吗?至少,自己认为是安全的,而且相对于同事们经常重装系统的行为,自己的系统重装的次数是少多了,那么真的是这样吗?...
使用Wireshark解决网络故障(木马)的一个典型案例
normanhere的博客
05-15 1195
使用conversation统计,可以看到明显的内网主机中木马的特征:顺序产生的源端口,按照列表扫描木马客户端的目的IP,目的端口都是445,字节大小是固定的66字节,短时间的大量并发连接,但是大多数木马客户端都是不在线的。1、安全设备如果配置不当,将无法起到安全作用,形同虚设,安全设备默认外网对内网访问端口必须全部关闭,只允许必要的端口开放,并且需要做7层或者3层的ACL来限制外来ip的登录,并且做AAA部署。这是一个正常的客户请求一个图片的下载的TCP序列,可以看到,发生了很多重传导致速度极慢。
wireshark进行手机抓,有详细步骤
07-05
在这里,我们将详细介绍如何使用Wireshark进行手机抓,掌握这项技能可以帮助您更好地理解网络通信机理、排除网络故障、开发网络应用程序等。 Wireshark的安装和配置 在开始手机抓之前,我们需要先安装和配置...
【网络协议分析】Ethereal工具的Windows平台安装与使用教程:涵盖抓、过滤及协议插件配置
最新发布
05-06
内容概要:本文介绍了Ethereal(现称为Wireshark)在网络抓和数据分析方面的使用方法,主要针对Windows平台。首先介绍了Ethereal的安装步骤,括安装WinPcap和Ethereal软件本身。接着详细讲解了Ethereal的基本...
Wireshark Ethereal 1.11.2 32位+64位 稳定版(网络分析工具,抓工具)-附件资源
03-05
Wireshark Ethereal 1.11.2 32位+64位 稳定版(网络分析工具,抓工具)-附件资源
如何利用一些小工具快速判断电脑是否中毒
weixin_34150503的博客
09-27 470
在这个网上支付流行的时代,人们最害怕的事情莫过于电脑病毒了。以前不装杀毒软件“裸奔”是一件再平常不过的事情。现在估计很少有人敢这么干了,生怕自己网银里的钱被别人神不知鬼不觉的偷走了。今天,我就写一篇新手小白文来告诉大家如何快速判断自己的电脑是否中毒。在讨论如何判断电脑是否中毒之前,我们先来说一下病毒常见的一些的特征。1. 计算机里运行的各种程序我们都可以找到相对应的进程。病毒...
wireshark基础命令
qq_58875293的博客
07-27 2633
个人做题总结wireshark基础
病毒分析工具和使用方法(一)
lirunling的博客
11-13 1万+
加壳验证工具 所谓病毒加壳,是指经过系列数学运算,将可执行程序文件或动态链接库文件的编码进行改变(目前还有一些加壳软件可以压缩、加密驱动程序),以达到缩小文件体积或加密程序编码,从而使病毒文件逃过杀毒软件的查杀。查看文件是否加壳最常用的工具是PEiD。 PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和...
wireshark使用,超级详细,收藏这一篇就够了
Javachichi的博客
12-29 1万+
过滤器类型Type(host、net、port)、方向Dir(src、dst)、协议Proto(ether、ip、tcp、udp、http、icmp、ftp等)、逻辑运算符(&&且、||或、!ip.addr==192.168.23.1 显示主机地址为192.168.23.1的数据。ip.dstr==192.168.23.1 显示目标地址为192.168.23.1的数据。=(不等于)、>(大于)、=(大于等于)
Wireshark详细分析
热门推荐
永远在奔跑的学习者
11-26 2万+
wireshark介绍 这里选了wifi网卡,开始抓 上方的文本框可以输入一些规则,对抓到的进行过滤。 过滤策略: 只看 TCP 协议的,可以输入 tcp 然后回车; 如果想看使用 UDP 协议的某个端口,输入 udp.port == 端口号 回车 如果想看目标 IP 地址是 192.168.1.123 的,可以输入 ip.dst ==192.168.1.123 然后回车;...
360网络安全团队整理:最适合入门的《Wireshark 数据分析实战笔记》
ALLEN'Blog
05-06 368
虽然章节数量较多,但并不像教程一样详细解释每个知识点,而是力求精简,以最简洁的语言,帮助你快速掌握每个知识点的要点。Wireshark是一款图形界面的网络嗅探器,支持多种平台,功能强大,是网络流量分析的利器。通过Wireshark,不仅能捕获和分析网络数据,还可以了解网络通信的协议、数据的结构、数据的流向、响应时间等信息,从而更好地理解网络通信的运作方式。如果你需要了解某个知识点,不管是Shift+F 搜索,还是按目录进行检索**,都能用最快的速度找到你要的内容。
wireshark学习记录
peter201502的博客
11-19 1682
目录 筛选过滤器 捕获过滤器 capture option (遵循伯克利过滤规则) wireshark捕获文件的保存 杂项设置 Ensp的安装与简单使用 Vmware网络连接介绍 Ensp连接VMware虚拟机 Wireshark部署方法 wireshark网络安全 wireshark辅助工具 Wireshark拓展 The "Expression…​" toolbar entry has been moved to "Analyze › Display filter Expre.
[Wireshark]交换机设置镜像端口并使用Wireshark异常流量分析病毒种类
weixin_42728126的博客
04-23 1万+
前言 最近多家用户报告相继中毒,通过对区级用户网络抓分析后发现三级网内存在多种类型病毒,下面介绍局域网中如何通过设置镜像端口抓流量通过Wireshark分析几种目前常见的病毒类型。 0x00 华为交换机镜像设置端口抓 1、 全局模式下指定一个镜像端口 observe-port 1 interface g 0/0/4 2、指定一个监测端口 int g 0/0/5 port-mirrori...
利用Wireshark找出局域网内ARP异常主机
发量堪忧
06-29 2067
找出局域网内发出最多ARP请求的中毒或者异常主机
WiresharkEthereal工具的详细使用教程
Wireshark是一款广泛使用的网络协议分析工具,它能够捕获网络上的实时数据,并进行详细分析。而EtherealWireshark的前身,由于品牌变更,Ethereal项目已经停止维护,其功能和代码被Wireshark继承和发扬。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值