恶意外联情况监测-火绒、DNSLookupView(联网、禁用网卡、仅主机模式请求测试)

恶意外联情况监测-火绒、DNSLookupView(联网、断网、仅主机模式时的请求测试)

结论:

联网时:

wireshark、火绒捕获 域名请求、IP请求

DNSLookupView捕获域名请求,无法捕获IP请求

禁用网卡时:

仅DNSLookupView捕获域名请求,无法捕获IP请求。其他工具捕获情况为空

仅主机模式时:

仅DNSLookupView捕获域名请求,无法捕获IP请求。其他工具捕获情况为空

工具准备

下载火绒,打开安全分析工具

点击开启监控

打开DNSLookupView工具

执行请求的方法

点击开始,便会访问目标链接,该exe进程号为5788

联网时的请求情况

DNSLookupView工具,捕获DNS解析记录,未捕获使用IP(http://103.54.xx.xx)直接访问的那条记录,也就是说,该工具仅捕获DNS解析记录

禁用网卡请求时,也是正常捕获

火绒点击停止监控后,筛选exe进程号5788

筛选网络通信

捕获到exe发出的3条请求,包含域名解析、以及IP直接访问的。结果是全的


Wireshark

wireshark联网抓包情况,可捕获所有请求。

禁用网卡,直接是抓不到包了

禁用网卡时的请求情况

禁用网卡请求时,DNSLookupView正常捕获请求记录

禁用网卡请求时,发现火绒无法捕获网络请求记录

仅主机模式时的请求情况

火绒、wireshark都抓不到。只有DNSLookupview能看到请求记录

相关推荐
hengcaib2 小时前
防封号电销外包公司怎么选合规线路与风控核查方法
笔记
六点_dn5 小时前
Linux学习笔记-shell运算符
linux·笔记·学习
降临-max5 小时前
软件测试基础---项目实战
软件测试·笔记·功能测试·测试用例
鱼子星_6 小时前
【C++】内存管理:内存分布,new/delete的使用及细节处理,new/delete的底层,定位new表达式
开发语言·c++·笔记
愚昧之山绝望之谷开悟之坡7 小时前
回购逆回购
笔记
鱼子星_7 小时前
【C++】string(上):string的基本使用
c++·笔记·字符串
AOwhisky7 小时前
Python 学习笔记(第四期)——字符串:格式化、操作与文本处理——核心知识点自测与详解
开发语言·笔记·python·学习·列表·元组·字典
chnyi6_ya7 小时前
论文阅读笔记 | VIDEOPHY: Evaluating Physical Commonsense for Video Generation
论文阅读·笔记
AOwhisky8 小时前
Python 学习笔记(第六期)——函数:定义、参数传递与作用域
笔记·python·学习·云原生·运维开发·函数·参数传递
玖玥拾8 小时前
Unity 3D 基础(一)Unity基础架构、物理系统、视觉渲染、空间变换与对象查询
笔记·游戏·3d·unity·游戏引擎