登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
网络分析
›
巧妙利用科来HTTP日志找出中马计算机
返回列表
发帖
查看:
3354
|
回复:
11
巧妙利用科来HTTP日志找出中马计算机
[复制链接]
kodin
kodin
当前离线
积分
3
发表于 2008-6-14 05:44:40
|
显示全部楼层
|
阅读模式
最近公司经常有计算机中木马病毒,中毒计算机都会从网上下载特定的木马文件。通过这一特征,使用
科来
HTTP日志记录设置过滤,查看各计算机下载的EXE文件(病毒文件特征是名字差不多,而且会下载一连串),快速找出中毒电脑。
1. 打开科来日志,我们可以看到各计算机的HTTP请求,如图:
2. 选择日志设置,如图:
3. 将HTTP日志过滤条件的勾选上,然后在右边的过滤条件(网址)添加EXE,如图:
这样我们就可以只看到带有EXE信息的HTTP日志了。
4. 当计算机中木马病毒的时候,会下载大量名字差不多的EXE文件,如图:
以上地址为木马病毒文件(o(∩_∩)o…大家最好还是不要打开哦)。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
评分
1
查看全部评分
徐徐渐进
回复
使用道具
举报
chinaheiyu
chinaheiyu
当前离线
积分
6
发表于 2008-6-14 16:16:26
|
显示全部楼层
支持一下
回复
使用道具
举报
ntjxad
ntjxad
当前离线
积分
0
发表于 2008-6-14 16:24:13
|
显示全部楼层
是一种思路,不过如果是内网的机器中了木马,无法连接外网,是否用这招管用呢?
回复
使用道具
举报
kodin
kodin
当前离线
积分
3
楼主
|
发表于 2008-6-14 16:54:20
|
显示全部楼层
中马机子,都会往外发送请求,可以针对这思路来查。(个人认为,如果是一台禁止访问外网的内部机,老是向外网发送请求的话,有中马的嫌疑,那就得过去检查一下了。)
回复
使用道具
举报
gamelees
gamelees
当前离线
积分
0
头像被屏蔽
发表于 2008-6-15 21:23:16
|
显示全部楼层
提示:
作者被禁止或删除 内容自动屏蔽
回复
使用道具
举报
398169780
398169780
当前离线
积分
1
发表于 2008-6-19 10:15:59
|
显示全部楼层
学习,学习
回复
使用道具
举报
fg1008
fg1008
当前离线
积分
0
发表于 2008-6-19 11:07:55
|
显示全部楼层
学习一下,谢谢!
回复
使用道具
举报
272822792
272822792
当前离线
积分
0
发表于 2008-6-20 19:14:56
|
显示全部楼层
不错 学习了
回复
使用道具
举报
锋行
锋行
当前离线
积分
0
发表于 2008-6-25 22:42:39
|
显示全部楼层
学习了,以后可以用来借鉴一下
回复
使用道具
举报
cdef610
cdef610
当前离线
积分
0
头像被屏蔽
发表于 2008-6-26 03:22:23
|
显示全部楼层
提示:
作者被禁止或删除 内容自动屏蔽
回复
使用道具
举报
ctop17
ctop17
当前离线
积分
14
发表于 2008-6-27 15:06:57
|
显示全部楼层
这招不错 值得学习
哈哈
回复
使用道具
举报
奥运福娃
奥运福娃
当前离线
积分
0
发表于 2008-6-30 10:16:09
|
显示全部楼层
确实是好方法啊。多谢
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2008-6-14 05:44:40
学习,学习