sudhanshu-yadav24/DA3-Emotet-Malware-Analysis

# Emotet 恶意软件流量分析（PCAP） ## 📌 概述 本项目使用 PCAP 文件分析真实的恶意软件感染案例。目标是利用网络流量行为检测恶意软件的存在。 ## 🎯 目标 - 识别受感染主机 - 检测可疑外部 IP - 分析流量模式（TCP、DNS、HTTP） - 使用图表可视化网络行为 ## 📂 数据集 PCAP 文件： 2019-09-25-Emotet-infection-with-Trickbot-in-AD-environment.pcap 来源： https://www.malware-traffic-analysis.net/ ## ⚙️ 使用的工具 - Wireshark - Python（Scapy、Matplotlib） - Blogger（用于文档记录） ## 📊 执行的分析 - 数据包速率分析 - 吞吐量分析 - IP 通信分析 - DNS 行为分析 ## 🧠 关键证据 - 与特定外部 IP 的高频通信 - 重复的流量模式（心跳行为） - 指示数据传输的数据包峰值 - 443 端口上的加密通信 ## 🚨 关键发现 - 受感染主机：**10.9.25.9** - 可疑外部 IP： - 195.123.221.178 - 5.53.125.13 - 185.98.87.185 - 观察到的行为： - 重复通信（C2 行为） - 流量峰值 - 加密通信（TLS） ## 📁 仓库内容 - PCAP 文件 - Python 脚本 - 图表输出 - Wireshark 截图 ## 🏁 结论 分析确认了恶意软件的存在，表现为异常流量模式和重复的外部通信。 ## 🙏 感谢 VIT Chennai、教职员工以及恶意流量分析平台。

标签：Beaconing, C2通信, DNS分析, Emotet, HTTP分析, IP通信分析, Matplotlib, PCAP分析, Python, Scapy, SEO关键词: Emotet分析, SEO关键词: PCAP取证, SEO关键词: 恶意流量分析, TCP分析, TLS加密通信, Trickbot, Wireshark, 博客文档, 句柄查看, 可疑外部IP, 吞吐量分析, 命令与控制, 异常检测, 恶意流量分析, 感染主机识别, 数据包峰值, 数据包速率分析, 无后门, 机器学习流量检测, 流量可视化, 网络安全, 网络流量分析, 网络行为可视化, 逆向工具, 隐私保护