Vishnu0223/Malware-Traffic-Analysis
GitHub: Vishnu0223/Malware-Traffic-Analysis
该项目演示如何在隔离实验室中使用 Wireshark 分析恶意软件 PCAP 文件,提取并验证威胁指标(IOC)以产出安全分析报告。
Stars: 0 | Forks: 0
# 使用 Wireshark 进行恶意软件流量分析
## 项目概述
本项目演示了如何使用从 malware-traffic-analysis.net 获取的公开数据包捕获 (PCAP) 文件进行恶意软件网络流量分析。
目标是在不执行恶意软件的情况下,识别恶意通信、提取威胁指标 (IOC) 并了解攻击者的行为。
此分析完全在受控的实验室环境中使用 Kali Linux 进行。
## 目标
- 分析恶意软件网络流量
- 检查 DNS 查询
- 检查 HTTP 请求和响应
- 识别恶意 IP 地址
- 识别可疑域名
- 提取威胁指标 (IOC)
- 使用 VirusTotal 验证发现的结果
- 准备 IOC 报告
## 使用的工具
- Kali Linux
- Wireshark
- VirusTotal
## 实验室环境
| 组件 | 详情 |
|-----------|----------|
| 操作系统 | Kali Linux |
| 数据包分析器 | Wireshark |
| IOC 验证 | VirusTotal |
| 数据集 | malware-traffic-analysis.net |
## 分析工作流
PCAP 文件
↓
在 Wireshark 中打开
↓
分析 DNS 流量
↓
分析 HTTP 流量
↓
识别 IP 地址
↓
识别域名
↓
使用 VirusTotal 验证
↓
生成 IOC 报告
## 使用的 Wireshark 过滤器
### DNS
```
dns
```
### HTTP
```
http
```
### HTTP 请求
```
http.request
```
### HTTP 响应
```
http.response
```
### TCP
```
tcp
```
### UDP
```
udp
```
### 会话
统计 → 会话
### 端点
统计 → 端点
## DNS 分析
观察到:
- 可疑的 DNS 查询
- 多次失败的查找
- 重复的请求
- 未知的域名
收集到:
- 域名
- DNS 响应码
- 源 IP
- 目标 IP
## HTTP 分析
观察到:
- HTTP GET 请求
- HTTP POST 请求
- User-Agent 值
- Host 标头
- 请求的 URI
收集到:
- URL
- HTTP 方法
- 响应码
- 服务器信息
## IOC 提取
收集的指标:
- IP 地址
- 域名
- URL
- HTTP User Agent
## VirusTotal 验证
每个提取的 IOC 都使用 VirusTotal 进行了验证,以确定:
- 检出率
- 信誉度
- 社区评分
- 安全厂商检测结果
## 交付成果
- 恶意软件流量报告
- IOC 报告
- Wireshark 截图
- VirusTotal 验证
## 学习成果
- 恶意软件流量调查
- 网络数据包分析
- DNS 分析
- HTTP 分析
- IOC 提取
- 威胁情报验证
- Wireshark 实践技能
## 免责声明
本项目仅供教育目的。
数据包捕获文件来自 malware-traffic-analysis.net,并在隔离的实验室环境中进行了分析。在此项目执行期间,未运行任何恶意软件。
标签:IP 地址批量处理, Wireshark, 句柄查看, 妥协指标, 威胁情报, 开发者工具, 恶意流量分析, 攻防对决, 网络信息收集, 网络流量分析