网络追踪:谁在幕后频频的恶意弹窗(3)

  • 时间:
  • 浏览:0
  • 来源:5分时时彩平台-大发时时彩投注平台_甘肃快3娱乐平台





作者: 论坛架构设计 zdnet网络安全

CNETNews.com.cn

1008-01-23 20:07:42

关键词: 攻击防范 恶意软件 网络安全

 最后的追踪

  三号嫌疑人排查手段:网络监控

  从底下的分析来看,网站或软件似乎之后 应该是真正的罪犯。但目前只剩下这另一还还有一个嫌疑人了,看来时需动用更多的手段来排查了。

  使用微软发布的网络监控多多守护进程 Network Monitor 3.1,同時 使用Camtasia Studio4做全屏幕录像。以126邮箱为例,最近每天第一次访问邮箱时一个劲 会附带出现另一还还有一个名为“QQ空间互踩联盟”网站,尽管现在弹出该网站看上去之后 为了宣传网站,但第一次遇到你你这种弹出窗口时NOD32的警告信息却我想记忆犹新,我时需要提高警惕(图2)。

 

图2

  一次典型的监控是曾经的:首先我时需确保系统后台无多余多多守护进程 ,随便说说,通过排查嫌疑人二号所建立的系统环境,就不可能 满足了你你这种条件。MS Network Monitor 3.1实现了网络协议级别的数据流监控(通常称为“嗅探”),网卡收/发的任何另一还还有一个网络数据包前会被它记录,并可保存成专有“.cap”格式文件便于后期分析。

  启动Camtasia Recorder多多守护进程 开使英文全屏幕录像。打开Monitor,首先选取网卡后,新建另一还还有一个嗅探标签,点击按钮“Start Capture”或默认按F10可启动嗅探(图3)。选取无加载项打开IE的空白页,至此嗅探器中只会显示出极少的系统我本人产生的网络校验数据包。当在IE地址栏键入“www.126.com”并回车,让.我 不能观察到嗅探器窗口中飞速地刷新数据,左下角不断更新的抓包数量递增得变慢。登录126后 进行了简单操作,待出现“QQ空间互踩联盟”的弹窗后,停止嗅探,先保存一下文件,计数器显示嗅探到151另一还还有一个包。所有数据包默认以捕获时序排列之后 不可能 编号。

图3

 如保分析这上千个数据包?逐一查看比较费时。利用Monitor提供的过滤器,让.我 按以下思路来分析。从域名链接来看,“联盟”与126什么都没人同一域名下,上都还可不都能不能 在IE要访问它时必定会先向DNS查询域名记录,于是在过滤器窗口内键入“DNS”之后 点击Accepted按钮,嗅探窗口随即刷新只显示出DNS协议有关数据包,变慢就找到了属于“联盟”的查询记录,序号324。

  现在让.我 更新过滤器关键字为“DNS or HTTP and !HTTP.payload”,意思是只显示DNS协议与HTTP协议相关的,之后 不显示HTTP的分解下载数据。点击按钮“Go to frame”,填入324后再点Find。窗口就直接显示出了324包的位置和内容(图4)。

 

图4

  从324往上找,变慢找到了312号数据包“Http: Response, HTTP/1.1, Status Code = 100”,我称其为“幽灵 包”。从它的内容还时需看出,这是一段标准HTML语言组成的删改页面,要求浏览器以100×1000的新窗口大小弹出指定网址,之后 本段页面内容不录入浏览器缓存,弹出新窗口后立刻删除。这之后 本文开头提到的“闪动了一下”……

  从目前的获得的信息来看,312中的代码目的上都还可不都能不能 另一还还有一个,让正在访问126邮箱的用户打开什么都没人网易服务器上的新网址;312号包似乎是伪装的,上都还可不都能不能 中有 来自126服务器的正常数据;上都还可不都能不能 投放统计功能的广告推广,按理说知名网站绝我不要 干你你这种打水漂的业务。种种不合理的地方显示,三号嫌疑人的嫌疑上都还可不都能不能 小。