Я смотрю на захват пакетов некоторого трафика компьютера, зараженного вредоносным ПО, с чего начать поиск серверной программы, с которой пытается связаться вредоносный бот?
Как мне найти серверную программу, с которой вредоносный бот пытается связаться с помощью wireshark?
1 ответ
0
Для Windows посмотрите этот вопрос переполнения стека. Сводка TLDR: netstat -b перечисляет все порты с именами процессов.
Для Linux netstat -tulpn предоставляет все прослушивающие порты, а netstat -tupn предоставляет все исходящие порты и связанные с ними PID. Запустите эти команды от имени пользователя root. Смотрите видео демо.
Вам просто нужно выяснить, с какого порта связывается ваша вредоносная программа. В Wireshark это та часть, где в захвате пакета говорится «adobeserver-2» или «adobeserver-1». Wireshark отображает эти имена вместо фактических номеров портов, чтобы дать пользователям представление о том, для чего обычно используется порт. Чтобы получить реальные имена портов, отключите эту функцию, как описано на сайте Wireshark Ask.
В качестве альтернативы см. Как определить, какая программа отправляет пакет, записанный в Wireshark? где для этой задачи рекомендуется использовать другую программу.