恶意外联情况监测-火绒、DNSLookupView(联网、断网、仅主机模式时的请求测试)
结论:
联网时:
wireshark、火绒捕获 域名请求、IP请求
DNSLookupView捕获域名请求,无法捕获IP请求
禁用网卡时:
仅DNSLookupView捕获域名请求,无法捕获IP请求。其他工具捕获情况为空
仅主机模式时:
仅DNSLookupView捕获域名请求,无法捕获IP请求。其他工具捕获情况为空
工具准备
下载火绒,打开安全分析工具
点击开启监控
打开DNSLookupView工具
执行请求的方法
点击开始,便会访问目标链接,该exe进程号为5788
联网时的请求情况
DNSLookupView工具,捕获DNS解析记录,未捕获使用IP(http://103.54.xx.xx)直接访问的那条记录,也就是说,该工具仅捕获DNS解析记录
禁用网卡请求时,也是正常捕获
火绒点击停止监控后,筛选exe进程号5788
筛选网络通信
捕获到exe发出的3条请求,包含域名解析、以及IP直接访问的。结果是全的
Wireshark
wireshark联网抓包情况,可捕获所有请求。
禁用网卡,直接是抓不到包了
禁用网卡时的请求情况
禁用网卡请求时,DNSLookupView正常捕获请求记录
禁用网卡请求时,发现火绒无法捕获网络请求记录
仅主机模式时的请求情况
火绒、wireshark都抓不到。只有DNSLookupview能看到请求记录
