网络追踪:谁在幕后频频的恶意弹窗(3)

  • 时间:
  • 浏览:1
  • 来源:极速快3_快3单双计划_极速快3单双计划





作者: 论坛分派 zdnet网络安全

CNETNews.com.cn

4008-01-23 20:07:42

关键词: 攻击防范 恶意软件 网络安全

 最后的追踪

  三号嫌疑人排查手段:网络监控

  从里面的分析来看,网站或软件似乎可是应该是真正的罪犯。但目前只剩下这三个小多多嫌疑人了,看来时要动用更多的手段来排查了。

  使用微软发布的网络监控系统进程Network Monitor 3.1,共同使用Camtasia Studio4做全屏幕录像。以126邮箱为例,最近每天第一次访问邮箱时经常 会附带总出 三个小多多名为“QQ空间互踩联盟”网站,尽管现在弹出该网站看上去可是为了宣传网站,但第一次遇到你这个 弹出窗口时NOD32的警告信息却我时要记忆犹新,我时要要提高警惕(图2)。

 

图2

  一次典型的监控是那我的:首先我时要确保系统后台无多余系统进程,随便说说,通过排查嫌疑人二号所建立的系统环境,就不可能 满足了你这个 条件。MS Network Monitor 3.1实现了网络协议级别的数据流监控(通常称为“嗅探”),网卡收/发的任何三个小多多网络数据包时要被它记录,并可保存成专有“.cap”格式文件便于后期分析。

  启动Camtasia Recorder系统进程开使了了英语 全屏幕录像。打开Monitor,首先选折 网卡后,新建三个小多多嗅探标签,点击按钮“Start Capture”或默认按F10可启动嗅探(图3)。选折 无加载项打开IE的空白页,至此嗅探器中只会显示出极少的系统被委托人产生的网络校验数据包。当在IE地址栏键入“www.126.com”并回车,朋友利于观察到嗅探器窗口中飞速地刷新数据,左下角不断更新的抓包数量递增得变慢。登录126后 进行了简单操作,待总出 “QQ空间互踩联盟”的弹窗后,停止嗅探,先保存一下文件,计数器显示嗅探到151三个小多多包。所有数据包默认以捕获时序排列要怎样让不可能 编号。

图3

 要怎样分析这上千个数据包?逐一查看比较费时。利用Monitor提供的过滤器,朋友按以下思路来分析。从域名链接来看,“联盟”与126沒有同一域名下,这样在IE要访问它时必定会先向DNS查询域名记录,于是在过滤器窗口内键入“DNS”要怎样让点击Accepted按钮,嗅探窗口随即刷新只显示出DNS协议有关数据包,变慢就找到了属于“联盟”的查询记录,序号324。

  现在朋友更新过滤器关键字为“DNS or HTTP and !HTTP.payload”,意思是只显示DNS协议与HTTP协议相关的,要怎样让不显示HTTP的分解下载数据。点击按钮“Go to frame”,填入324后再点Find。窗口就直接显示出了324包的位置和内容(图4)。

 

图4

  从324往上找,变慢找到了312号数据包“Http: Response, HTTP/1.1, Status Code = 400”,我称其为“疾驰包”。从它的内容还时要看出,这是一段标准HTML语言组成的完整页面,要求浏览器以4000×4000的新窗口大小弹出指定网址,要怎样让本段页面内容不录入浏览器缓存,弹出新窗口后立刻删除。这可是本文开头提到的“闪动了一下”……

  从目前的获得的信息来看,312中的代码目的只三个小多多多,让正在访问126邮箱的用户打开沒有网易服务器上的新网址;312号包似乎是伪装的,这样中有 来自126服务器的正常数据;这样投放统计功能的广告推广,按理说知名网站绝不不干你这个 打水漂的业务。种种不合理的地方显示,三号嫌疑人的嫌疑这样小。