#原创分享#感染恶意程序终端分析案例

    先通过网络数据包进行预判分析，网络数据包里面会夹杂大量的数据，如何通过数据包分析判断位终端是否感染了恶意程序，可以通过以下三个方面进行综合判断：

1.对应用场景及IP地理位置进行分析

     数据包解包情况如下:

分析：数据包来自某三甲医院，不存在需要大量访问国外域名的情况，大量访问国外域名，可以判断存在访问异常的情况。

2.对域名会话情况进行分析

抽取域名："2003wsh.ddns.net.localdomain"的访问数据包如下:  

分析：上图表明客户端与服务器之间TCP会话建立失败（三次握手失败），下图表明客户端在TCP建立连接失败的情况下，还有大量的访问，可以判断是由程序或脚本发起的访问，而非人为访问。

3.对客户端访问的域名进行情报分析

客户端域名访问情况如下：

分析：通过域名情报网站（本次使用微步在线 https://x.threatbook.cn/）对域名进行分析，发现存在访问恶意域名的情况，分析结果见下图：

经过网络数据包三方面的分析，基本可以判断以上终端感染了恶意程序，通过病毒检查来做最终确认。

1.对终端进行查杀，确认终端确实恶意程序，查杀结果见下图：

2.通过其他途径对程序样本进行检测，进一步确认不存在误杀的情况，本次使用深信服安全中心对恶意样本进行检测，检测结果如下：

最后，分享给大家本次抓下来的数据包样本和恶意程序样本供各位交流及学习。

注意：1.恶意程序样本仅供交流及学习之用，切勿用于非法用途；

          2.两个恶意程序样本已经过加密压缩，密码为22334455，解压操作建议在实验环境中进行。

恶意程序样本1.zip (420.02 KB, 下载次数: 8)

2020-4-1 00:07 上传

点击文件名下载附件

恶意程序样本2.zip (7.34 MB, 下载次数: 5)

2020-4-1 00:08 上传

点击文件名下载附件

相关网络数据包.zip (274.68 KB, 下载次数: 6)

2020-4-1 00:10 上传

点击文件名下载附件

【优秀】感谢楼主分享，文章对解决存在外连的恶意病毒问题很有帮助，如增加更多进程连接分析步骤讲解会更好，期待杜楼主带来更多有价值的分享。

您好，感谢您参与社区原创分享计划7，您的文章已被收录到计划中，交由专家评审小组评审，文章标签在专家评审后设置，奖励将在活动结束后统一安排发放！发文越多，奖励越多，期待您更多的精彩文章哦！:感恩:
关于技术文章的管理流程，请参考：http://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279

感谢分享

不错的文章，建议可以直接通过抓链接，将终端的恶意进程抓出来，进行分析。

感谢分享

首先感谢楼主的精彩分享，通过对应用场景及IP地理位置进行分析，对域名会话情况进行分析，对客户端访问的域名进行情报分析来判断终端是否感染了恶意程序。如果楼主能够具体的讲解一下进程分析的过程就更好了，再次感谢楼主的精彩分享，学习到了！

感谢分享，优秀

打卡学习，感谢分享！

感谢分享