难以获取恶意软件流量

逆向工程 恶意软件 联网 虚拟机
2021-06-21 21:02:49

我试图让一个特定的恶意软件成为信标,我的盒子连接到 remnux,运行 inetsim 和 fakedns。使用这种设置,我已经能够从大多数样本中获得良好的 pcap,但这有点令人烦恼。

我可以看到我的样本正在通过 TCP 到达正确的 C2 服务器,但 ICMP 返回“目标无法访问(网络无法访问)”。我继续在这个职位描述的使用过的路线/ iptables的:https://techanarchy.net/blog/installing-and-configuring-inetsim但现在我发现很难找到交通,因为它是所有我的IP中wireshark,它似乎是 ssl 加密的。

我从这里去哪里?

1个回答

好吧,那算了。

我的问题的答案是我的特定示例使用它自己的自定义协议,它通过 SSL 发送。如果不提及我正在处理的特定样本系列,我就无法进一步详细说明。

我不需要解密 SSL 流量或任何东西,我之前的步骤实际上确实按照我想要的方式公开了网络流量。

另外,我的步骤更改了wireshark中的源/目标是错误的,实际上很好。

其它你可能感兴趣的问题
上一篇CALL 指令前缺少参数 下一篇为什么在 Ntdll 中进行系统调用之前,地址 7FFE0308 总是在 64 位应用程序中进行比较?