Maanya-Agrawal/Malware-Presence-Confirmation-Koi-Loader-Koi-Stealer-Analysis

# 恶意软件存在确认 – Koi Loader / Koi Stealer ## 描述 本项目重点分析与 Koi Loader / Koi Stealer 恶意软件感染相关的 PCAP 文件中捕获的网络流量。该分析使用 Wireshark 进行，旨在识别可疑的通信模式，并基于 HTTP 和 TCP 行为确认恶意软件的存在。 ## 目标 - 使用 PCAP 文件分析网络流量 - 识别可疑的 HTTP 和 TCP 通信 - 检测与外部服务器的重复连接 - 通过异常流量模式确认恶意软件的存在 ## 使用的工具 - Wireshark - 网络流量分析技术 ## 仓库内容 - **pcap/** → 包含恶意软件流量的 PCAP 文件 - **screenshots/** → 包含支持分析的 20 张截图 - **filters.txt** → 所使用的 Wireshark 过滤器列表 ## 关键观察 - 识别到针对外部服务器的 HTTP GET 和 POST 请求 - 观察到与特定外部 IP 地址的重复通信 - 持续的后台流量表明存在持久性活动 - 较大的数据包大小暗示正在进行的数据传输 - TCP 分析标志表明存在不规则的通信模式 ## 恶意软件存在的指标 - 针对可疑端点的重复 HTTP 请求 - 与外部公共 IP 地址的通信 - 自动化和类似 beacon 行为的证据 - 通过 HTTP POST 请求进行数据传输 - 使用分析标志检测到异常 TCP 活动 ## 结论 基于异常的 HTTP 和 TCP 流量模式，对该 PCAP 文件的分析确认了恶意软件的存在。观察到行为，包括重复的外部通信、自动请求以及不规则的数据包活动，表明受损系统正与潜在的命令与控制（C2）服务器进行通信。 ## 参考文献 - https://www.malware-traffic-analysis.net/2025/01/23/index.html ## 致谢 我要感谢我的父母、VIT SCOPE 以及课程讲师，感谢他们的指导和支持，使我得以完成这个项目。

标签：Beacon Object File, beacon行为, C2通信, DAST, HTTP分析, IP 地址批量处理, Koi Loader, Koi Stealer, PCAP, TCP分析, Wireshark, 信息窃取, 句柄查看, 后门检测, 命令与控制, 恶意流量检测, 恶意软件分析, 恶意软件识别, 流量取证, 流量特征分析, 网络安全, 网络流量分析, 自定义DNS解析器, 隐私保护