Anush65/malware-analysis

# 使用 Wireshark 分析确认恶意软件存在 ## 概述 本项目专注于通过使用 Wireshark 进行网络流量分析来识别恶意软件的存在。无需执行恶意软件，而是通过分析数据包捕获（PCAP）文件来观察表明恶意活动的异常通信模式。 ## 数据集 本分析中使用的恶意软件流量数据来源于： https://www.malware-traffic-analysis.net/training-exercises.html 该数据集包含被感染主机与多个外部服务器通信所产生的网络流量。 ## 目标 - 使用 Wireshark 分析网络流量以识别恶意软件活动 - 观察异常通信模式，例如重复的连接尝试和失败的握手 - 通过数据包级分析确认恶意软件的存在 ## 方法论 1. 下载并使用 Wireshark 打开 PCAP 文件。 2. 应用了多种过滤器来分析流量模式： - TCP SYN 数据包 - 重传 - 重置数据包 - 外部通信 3. 识别出异常行为，例如重复的连接尝试、失败的握手以及与多个外部 IP 的通信。 4. 总共记录了 20 项观察结果，作为恶意软件存在的证据。 ## 关键观察 - 多个 TCP SYN 数据包，表明重复的连接尝试 - 与多个外部 IP 地址的通信 - 频繁的重新传输，表明通信失败 - 存在重置数据包，表明异常的连接终止 - 使用了非常规端口和不规则的流量模式 ## 推断 观察到的流量模式表明自动化且异常的通信行为，这不是典型合法用户的活动。根据这些发现，确认在分析的网络流量中存在恶意软件。 ## 仓库结构

标签：AMSI绕过, PCAP分析, TCP SYN, Wireshark, 句柄查看, 复位包, 外部通信, 威胁检测, 异常通信, 恶意活动, 抓包分析, 数据统计, 流量模式, 端口扫描, 网络安全, 网络流量分析, 重传, 隐私保护