CrackSkull/emotet-malware-analysis-wireshark

# 🔍 使用 Wireshark 流量分析检测恶意软件存在（Emotet PCAP 研究） ## 📌 概述 本项目专注于使用网络流量分析来检测恶意软件的存在。 分析了一个真实的 Emotet 恶意软件 PCAP 文件，以识别可疑的通信模式、命令与控制（C2）活动以及妥协指标。 ## 🎯 目标 * 分析网络流量以检测恶意软件存在 * 识别可疑的 DNS 和 HTTP 行为 * 检测命令与控制（C2）通信 * 了解恶意软件如何与正常流量混合 * 应用基于 AI 的异常检测概念 ## 🧪 数据集 * 来源：Malware-Traffic-Analysis.net * 类型：Emotet 感染流量 * 格式：PCAP 文件 * 描述：包含来自受感染系统并与外部恶意服务器通信的真实捕获流量 ## 🏗️ 架构 该项目的工作流程包括： 1. 收集 PCAP 文件 2. 使用 Wireshark 进行流量分析 3. DNS 过滤与可疑域名检测 4. HTTP 流量检查 5. 提取对象 6. 识别异常 7. 基于 AI 的分析（基本检测逻辑） ## ⚙️ 使用的工具 * Wireshark * Python（用于异常检测） * GitHub（用于项目托管） ## 🔎 关键发现 ### 🚨 可疑 DNS 活动 * 重复的 DNS 查询（信标行为） * 查询未知域名（例如：hangarlastik.com） ### 🌐 外部通信 * 受感染主机与外部 IP 通信 * 示例：89.252.164.58 ### 📡 HTTP 行为 * 多个 HTTP POST 请求 * 随机化的 URI（表明是恶意通信） ### 📦 有效载荷指示 * 存在 application/octet-stream * 较大的 HTTP 对象（可能用于有效载荷传递） * 随机文件名 ### 🧠 基于 AI 的检测（概念） 使用的基本异常检测逻辑： ``` if request_count > threshold: print("Suspicious traffic detected") ``` ## 📊 截图 请参考 `screenshots/` 文件夹以获取详细分析可视化。 ## 📁 仓库结构 ``` pcap/ → Contains PCAP files screenshots/ → Analysis screenshots code/ → Python scripts report/ → Documentation ``` ## 🎥 演示视频 （在此插入您的 YouTube 链接） ## 🔗 博客链接 （在此插入您的 Blogger 链接） ## 📚 参考文献 * Malware-Traffic-Analysis.net * Wireshark 文档 ## 🙏 感谢 我要感谢我的父母、大学（VIT）、教职员工以及所有支持我完成此项目的资源。

标签：Apex, APT攻击, C2通信, DNS隧道, Emotet, GitHub项目管理, HTTP工具, HTTP异常, IOC查找, IP 地址批量处理, PCAP分析, Python网络分析, SEO关键词：Emotet检测, SEO关键词：Wireshark流量分析, SEO关键词：恶意软件流量分析, SEO关键词：网络威胁检测, Wireshark, 人工智能检测, 句柄查看, 命令与控制通信, 异常检测, 数据提取, 机器学习, 流量取证, 网络安全, 网络安全审计, 网络流量分析, 逆向工具, 隐私保护