Vishnu0223/Malware-Traffic-Analysis

GitHub: Vishnu0223/Malware-Traffic-Analysis

该项目演示如何在隔离实验室中使用 Wireshark 分析恶意软件 PCAP 文件,提取并验证威胁指标(IOC)以产出安全分析报告。

Stars: 0 | Forks: 0

# 使用 Wireshark 进行恶意软件流量分析 ## 项目概述 本项目演示了如何使用从 malware-traffic-analysis.net 获取的公开数据包捕获 (PCAP) 文件进行恶意软件网络流量分析。 目标是在不执行恶意软件的情况下,识别恶意通信、提取威胁指标 (IOC) 并了解攻击者的行为。 此分析完全在受控的实验室环境中使用 Kali Linux 进行。 ## 目标 - 分析恶意软件网络流量 - 检查 DNS 查询 - 检查 HTTP 请求和响应 - 识别恶意 IP 地址 - 识别可疑域名 - 提取威胁指标 (IOC) - 使用 VirusTotal 验证发现的结果 - 准备 IOC 报告 ## 使用的工具 - Kali Linux - Wireshark - VirusTotal ## 实验室环境 | 组件 | 详情 | |-----------|----------| | 操作系统 | Kali Linux | | 数据包分析器 | Wireshark | | IOC 验证 | VirusTotal | | 数据集 | malware-traffic-analysis.net | ## 分析工作流 PCAP 文件 ↓ 在 Wireshark 中打开 ↓ 分析 DNS 流量 ↓ 分析 HTTP 流量 ↓ 识别 IP 地址 ↓ 识别域名 ↓ 使用 VirusTotal 验证 ↓ 生成 IOC 报告 ## 使用的 Wireshark 过滤器 ### DNS ``` dns ``` ### HTTP ``` http ``` ### HTTP 请求 ``` http.request ``` ### HTTP 响应 ``` http.response ``` ### TCP ``` tcp ``` ### UDP ``` udp ``` ### 会话 统计 → 会话 ### 端点 统计 → 端点 ## DNS 分析 观察到: - 可疑的 DNS 查询 - 多次失败的查找 - 重复的请求 - 未知的域名 收集到: - 域名 - DNS 响应码 - 源 IP - 目标 IP ## HTTP 分析 观察到: - HTTP GET 请求 - HTTP POST 请求 - User-Agent 值 - Host 标头 - 请求的 URI 收集到: - URL - HTTP 方法 - 响应码 - 服务器信息 ## IOC 提取 收集的指标: - IP 地址 - 域名 - URL - HTTP User Agent ## VirusTotal 验证 每个提取的 IOC 都使用 VirusTotal 进行了验证,以确定: - 检出率 - 信誉度 - 社区评分 - 安全厂商检测结果 ## 交付成果 - 恶意软件流量报告 - IOC 报告 - Wireshark 截图 - VirusTotal 验证 ## 学习成果 - 恶意软件流量调查 - 网络数据包分析 - DNS 分析 - HTTP 分析 - IOC 提取 - 威胁情报验证 - Wireshark 实践技能 ## 免责声明 本项目仅供教育目的。 数据包捕获文件来自 malware-traffic-analysis.net,并在隔离的实验室环境中进行了分析。在此项目执行期间,未运行任何恶意软件。
标签:IP 地址批量处理, Wireshark, 句柄查看, 妥协指标, 威胁情报, 开发者工具, 恶意流量分析, 攻防对决, 网络信息收集, 网络流量分析