最近公司经常有计算机中木马病毒,中毒计算机都会从网上下载特定的木马文件。通过这一特征,使用科来HTTP日志记录设置过滤,查看各计算机下载的EXE文件(病毒文件特征是名字差不多,而且会下载一连串),快速找出中毒电脑。
1. 打开科来日志,我们可以看到各计算机的HTTP请求,如图:
2. 选择日志设置,如图:
3. 将HTTP日志过滤条件的勾选上,然后在右边的过滤条件(网址)添加EXE,如图:
这样我们就可以只看到带有EXE信息的HTTP日志了。
4. 当计算机中木马病毒的时候,会下载大量名字差不多的EXE文件,如图:
以上地址为木马病毒文件(o(∩_∩)o…大家最好还是不要打开哦)。 |
发表于 2008-6-14 05:44:40
学习,学习