学习
实践
活动
专区
工具
TVP
写文章

无线宝宝wifi热点共享软件流量行为分析

近日,腾讯反病毒实验室截获到了大量通过传入特殊参数实现刷流量行为的恶意程序,经过回溯发现,这些恶意程序均是由某wifi热点共享软件下载并解密运行进行传播,感染量非常大。 截止到编写该文档,分析到的大部分行为为后台刷流量。 ? 木马功能大致流程 0×02 详细分析 1. 由此便可知道该进程为了躲避杀毒软件,所使用的启动方式了。 在其源码中还存有各类刷流量的url: ? 其资源文件中的EXE这里就不做详细分析了,还有很多样本大致行为也几乎相似。 0×03 危害及查杀 经过以上分析,可以发现该木马的主要功能还是通过后台刷流量来实现获利,由于该木马作为wifi共享软件的组件,并且以服务形式存在,使得用户难以发现异常。

64380

NetFlow流量分析

NetFlow是基于流的流量分析技术,其中每条流主要包含以下字段:源IP地址、目的IP地址、源端口号、目的端口号、IP协议号、服务类型、TCP标记、字节数、接口号等。 NetFlow是一个轻量级的分析工具,他只读取了报文中的一些重要字段不包含原始数据,并不属于全流量分析。 NetFlow网络异常流量分析 NetFlow流记录的主要信息和功能: who:源IP地址 when:开始时间、结束时间 where:源IP地址、源端口号、目标IP地址、目标端口号(访问路径) what :协议类型、目标IP地址、目标端口(什么应用) why:基线、阈值、特征(是否正常) how:流量大小、数据包数量(访问情况) 一个NetFlow流定义为在一个源IP地址和目标IP地址间传输的单向数据包流 常见协议名称和协议号对应关系 协议号 协议 1 ICMP 2 IGMP 6 TCP 17 UDP 常见的网络攻击流量 SYN Flood攻击 SYN Flood攻击是通过半开的TCP连接,占用系统资源

19110
  • 广告
    关闭

    CDN 境内流量0.02元/GB起

    一键接入,全球加速!提供全球范围内快速、稳定、智能、安全的内容加速服务,支持图片、音视频等多元内容分发!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    流量分析入门

    前言 个人一直对CTF比赛中MISC中流量分析这一块感兴趣…但好像之前参加的培训没有涉及到。 正好看到了一些相关书籍资料,自己向前辈们学习以后整理一些资料来总结一下(本人是个很菜…还没入门的pwn手) 互联网五层模型 在计算机网络这门课中介绍了OSI模型及互联网五层模型: 在我们使用抓包软件进行流量分析的时候 在流量包里找 上课认真听了吗? 题目提示,是三种不同的流量 在最下面。。。我找了半天。。 exe文件,这可能是一个恶意文件,然后我们运行时会向别的IP发送数据 在虚拟机中运行(注意给的病毒啥的最好在虚拟机里运行),然后看是一个helloworld的程序 打开wireshark进行分析 ,搜索字符串flag{ 得到flag: 结语 这是一篇偏向入门的流量分析总结,后续随着做题肯定还会继续更深入地写,感谢各位前辈们的指点!

    15510

    USB流量取证分析

    通过对该接口流量的监听,我们可以得到键盘的击键记录、鼠标的移动轨迹、磁盘的传输内容等一系列信息。 在Linux中,可以使用lsusb命令,如图所示: ? 我们这里主要演示USB的鼠标流量和键盘流量。 Linux下的分析已经比较多了,下面的环境均在Windows下进行。 一、鼠标流量 1.1 特点分析 USB鼠标流量的规则如下所示: ? 下图是我点击鼠标左键在屏幕上画圆圈的流量: ? 有的鼠标可能协议不是很标准,会导致分析不了。 二、键盘流量 2.1 特点分析 键盘数据包的数据长度为8个字节,击键信息集中在第3个字节,每次击键都会产生一个数据包。 2.2 使用Wireshark捕获和分析 捕获的步骤与上面相似。下面以XCTF的高校战疫比赛中的一道例题(ez_mem&usb)来说明。

    1.6K20

    CobaltStrike流量特征分析

    HOLIDAY CS流量特征分析 作者:wal613@深蓝攻防实验室 01 配置信息   主要对比默认配置的profile和配置修改后的profile[1],本文修改后的profile采用如下配置。 2.2 流量分析 在指令特征分析中,可以看到,在流量包中可以从域名/IP、指令长度(心跳返回包长度)、指令结果长度(返回结果包长度)、指令执行时间(POST包与指令包时间间隔)作为参考依据,对cs流量进行分析 3.2 流量分析 从上述分析中,可以看到,可以从指令长度(api A记录及api TXT记录)、指令结果长度(post A记录)、指令执行时间(POST A记录与指令包时间间隔)作为参考依据。 4.2 流量分析 从上述分析中,可以看到,可以从指令长度(受控端心跳包接收数据长度)、指令结果长度(受控端执行完指令向cs server发送的数据长度)、指令执行时间作为参考依据。 该方向的题目背景为某小区内网感染了使用TLS/SSL加密通信的恶意软件,任务是通过仅观察网络出口处的443端口加密流量,定位感染的IP。

    4.4K30

    数据分析:谁会iphone x?

    用人话来说,就是谁准备、即将、计划、可能会iphone X。 言归正传,在发了几篇数据分析的文章后,就有朋友跟我说有没有简单的数据分析方法,毕竟不会python、火车头、tableau、水晶易表之类专业的数据采集和可视化工具。 嗯,今天就以探究iphone X购买人群为例子,分享数据简单的数据分析。 ? 先来看看最新的iphone x产品特点,总体来说,和iphone 8相比有不少的改进。 通过分析可以发现,这些信息绝大部分都和“科技”标签相关,对应到文章和产品上,就是大部分文章都从产品的本身来入手,例如手机的外形、配置等方面,但是会显得比较枯燥和单一。 ? 从信息自带的标签分析来看,与iphone x相关的用户都会关注美食、娱乐、名人明星、旅游、幽默搞笑方面的信息,最多的是关注美食的人群,嗯,果然是吃货打过;从星座来看,而摩羯座的人群最多。 ? ?

    48990

    CTF流量分析常见题型(二)-USB流量

    0x00 前言 在学习Wireshark常见使用时,对常见CTF流量分析题型和铁人三项流量分析题的部分问题进行了简单总结。由于篇幅过长,于是另起一篇总结USB流量分析,包括键盘流量和鼠标流量。 0x01 USB流量分析 USB流量指的是USB设备接口的流量,攻击者能够通过监听usb接口流量获取键盘敲击键、鼠标移动与点击、存储设备的铭文传输通信、USB无线网卡网络传输内容等等。 在CTF中,USB流量分析主要以键盘和鼠标流量为主。 1、键盘流量 USB协议数据部分在Leftover Capture Data域中,数据长度为八个字节。 3.题目示例: 【NSCTF】这是一道鼠标流量分析题。 最终得到flag 0x02 后记 本次总结了USB流量包的流量分析,对键盘流量和鼠标流量有了简单的了解。

    94420

    产品流量分析

    这次和大家分享一下最近对流量分析的一些理解。 流量是产品获得用户的第一步,没有流量就没有转化与营收。对于流量分析在产品日常运营效果监控中有着非常重要意义。 下面我们就流量的来源与流向分析中需要关注哪些指标,展开叙述。 )用于标记链接来源,针对SEM流量可从曝光量(从投放后台查看)、UV、投放地域、投放关键词、注册用户、订单量、营收等角度进行分析。 对站内流量可以从流量规模和流量质量两个角度进行分析。 常见的评价流量规模的指标包括PV、UV、某些重要banner位的click UV。 在分析评价时需要注意是以页面为研究对象还是以用户点击行为为研究对象来区分这两种流量。 在日常流量运营监控中除了对流量规模进行分析,还需要对跳出率、访问深度、访客获取成本等流量质量维度的指标进行评价。

    12020

    DNS隧道流量分析

    本文通过DNS隧道实验并对流量进行分析,识别DNS隧道流量特征。 ns.dnstuneltest.com是否正确解析,(如果不能解析,可能跟防火墙有关系,在DNS服务器上执行iptables -F) Iodine Ionine支持两种模式,中继以及直连模式,服务器与客户端可以直接通信而不需要第三种辅助软件 流量分析 抓包 tcpdump -i enp2s0 port 53 -w /tmp/iodine.pcap 建立链接的包分析 在客户端启动后,会向服务器发送DNS请求包 ? 通信流量分析 通信过程的中的DNS协议格式已经损坏,wireshark已经无法正确分析 ? 流量分析 建立链接并未产生通信包 ? 使用ssh访问时,才会产生数据包 ? 数据包分析 需要时客户端会向服务端发起TXT类型请求,服务器的返回包也会放在回复的TXT记录中 ? ?

    1.5K10

    网络流量分析

    网络流量分析 具体要求 收集自己本机的网络流量数据(至少1小时)并进行数据显示。 可用wireshark软件抓包 网络流量大小的时序图,可按每半分钟、每分钟、每五分钟、每十分钟进行分别显示。 ---- 具体思路 要想对数据进行分析,首先要有数据,所以第一步要抓取数据 抓取数据我所知道的有两种方法,第一种为通过代码进行抓取,然后保存在文件中进行读取,第二种通过wireshark等软件进行抓取, 然后通过代码分析。 前者更倾向于分析实时数据包,后者则耗时间比较少(具体根据需要选择) 拿到数据包以后,在分析之前,我们要通过代码把数据包中的内容拿出来,我选择pyshark.FileCapture方法 作图我选择导入matplotlib ---- 运行结果展示 流量协议类型直方图 ---- 作流量大小时序图 ---- 过滤器 按照控制台提示输入过滤条件 ---- 最后会输出符合条件的数据包数量 发布者:全栈程序员栈长

    16210

    流量分析常见指标

    流量分析常见指标 1)基础分析(PV,IP,UV) Ø 趋势分析:根据选定的时段,提供网站流量数据,通过流量趋势变化形态,为您分析网站访客的访问规律、网站发展状况提供参考。 Ø 对比分析:根据选定的两个对比时段,提供网站流量在时间上的纵向对比报表,帮您发现网站发展状况、发展规律、流量变化率等。 2)来源分析 Ø 来源分类:提供不同来源形式(直接输入、搜索引擎、其他外部链接、站内来源)、不同来源项引入流量的比例情况。 通过精确的量化数据,帮助用户分析什么类型的来路产生的流量多、效果好,进而合理优化推广方案。 Ø 搜索引擎:提供各搜索引擎以及搜索引擎子产品引入流量的比例情况。 用户可通过此功能快速找到哪些来路对网站流量的影响比较大,从而及时排查相应来路问题。 3)受访分析 Ø 受访域名:提供访客对网站中各个域名的访问情况。

    35510

    wireshark流量分析实战

    wireshark Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。 下面是在网上找的数据包资源,来自2018的铁人三项流量分析题目,一共有二十题,共有六个数据包,本人习惯一题一题来,不过可能是个很不好的习惯 1.黑客的IP是多少 很明显这也是我们平常干的事情phpinfo http 找了二三四的数据包都没有,回到第一个数据包,发现 这里可以发现路由器的相关信息很明显啦 16.列出路由器的所有IP地址(格式:从小到大,用英文逗号分隔) 还是使用上一步使用的过滤器继续分析 ,发现许多重复登录,应该是黑客在进行爆破 最后到这里的时候,error_code为0,此前是700,说明黑客已经爆破成功,这里需要知道所有路由器的IP地址 只有往下分析黑客的举动找到信息 这里发现了路由器

    27530

    Nginx 流量统计分析

    程序简介 通过分析nginx日志,统计出nginx流量(统计nginx日志中 $body_bytes_sent 字段),能自定义时间间隔,默认时间间隔为5分钟,单位为分钟。 输出结果 开始时间 结束时间 分割线 统计流量 2019-11-23 03:26:00 2019-11-23 04:26:00 <====> 2.04M 2019-11-23 04:27:43 2019 ; body_bytes_sent:发送给客户端的字节数,不包括响应头的大小 bytes_sent:发送给客户端的字节数 注意:nginx日志中间不能有空行,否则程序读取不到空行后面的日志 例子 # 分析 nginx access.log 日志,以 1小时 切割,统计每小时产生的流量 $ . access.log -m 60 程序代码 下面是 nginx_large_file_flow_analysis3.py 部分代码,获取程序全部代码,请关注我的 YP小站 微信公众号并回复 nginx流量统计

    2K20

    网络流量分析netflow

    d)提供重要应用和大客户统计分析   通过对重要应用和大客户的流量进行统计分析,掌握重要应用和大客户的流量状况,进行网络带宽的成本分析,有助于在网络服务质量和网络成本之间取得最佳平衡。 现有的网络管理系统虽然可以提供业务流量监测手段,但基本上只是采用一些通用型的网络链路使用率监视软件,如利用免费的MRTG和简单网络管理协议(SNMP),对网络的重点链路和互联点进行简单的端口级流量监视和统计 同时,它也可以通过网关以Socket方式发送信息到其他网管分析软件,或直接读取存放在NetFlow FlowCollector工作站中的数据文件,对其进行分析处理。    2.4 流量采集点的设置   为了实现对所监测网内的所有流量进行分析,首先需要合理地设置流量采集点。采集点的设置非常关键,直接影响到系统能否准确地对流量进行全面分析。 NetFlow数据需要的网络带宽(Mbit/s)最大为:(系统每秒需要进行处理的Flow数量/30)×1500×8/1024/1024 3、应用价值与前景   NetFlow是Cisco公司的IOS软件的一部分

    48310

    流量分析基础到实战

    缺点: 1.当采集的数据包很大的时候,相应速度较慢 2.生成分析图表不够直观 ? ? 抓住一个明文口令 内容:通过wireshark捕获两个客户端和服务端之间的FTP协议通信的流量分析数据包中的明文用户名和密码 (一).搭建一个FTP Server服务 在Windows环境中,强烈安利一个迷你的 Ftp服务端软件Slyar FTPserver,这是一款很久以前的小工具,在传送小文件的场景下,非常实用! (四)wireshark数据包分析 1.先点击左上角第二个红色按钮停止抓包 ? 一天小B突发奇想也想登录进后台看看有什么东西,但是没有账号和密码,但是他知道小A会在每天9点钟的时候登录后台,小B想使用wireshark来抓取局域网的流量包,然后从中分析出小A的登录密码。

    88250

    实用流量数据分析指南

    本文转自公众号『数据管道』 前戏 粽子节了嘛,突然想吃粽子了,咋办,粽子呗!现在情景转换一下,假设你是某饮食网的数据分析师,现在某粽子界大亨想拿钱砸你老板(打广告)。 这些问题都需要你对公司网站流量数据从采集到到分析有全面深刻的理解。 目录概览 以下内容为个人现阶段业务分析与学习理解,内容将从数据采集到用户分析(绩效指标KPI)这条线路展开。主要内容目录如下: ? 流量数据分析 数据采集 何为“埋点“? 说白了就是收集数据,首先你想到可能可能是爬虫爬取,但你要搞清楚,现在是在公司的产品线,难道你能通过爬虫爬到“宝器点开了××搜素框”这样的行为事件吗? 用于流量监测(在线情况、PV、UV指标等等分析) 便于构建用户行为路径(通过埋点获取用户的行为数据链路) 通过对买点数据的分析,判断产品和活动等效果及未来走向 监控应用运行状态,方便问题定位和追踪 为营销决策提供数据支持 实施AB Testting 流量数据采集底层表与字段 埋点时为了收集数据,但不是所有的数据都需要采集上来。

    64921

    linux下流量分析工具

    介绍 在日常的运维工作中,我们经常需要去关注网卡流量的使用情况,看是否处于正常的使用范围内,如果入网或者出网有异常升高或者降低,我们都要及早的去发现,来进行评估是否处于异常状态,而去发现这个异常,就需要我们熟悉常用的流量分析查看工具 ,nload是一个命令行工具,让用户可以分开来监控入站和出站的流量,它还可以绘制图表以显示入站流量和出站流量,如果我们需要看带宽的总体情况,不需要看每个进程的详细情况,nload便很方便了 1)安装方法 1 yum -y install nload 2)参数介绍 1 2 3 4 5 -a: 指定全部数据的刷新时间,单位是秒,默认是300秒 -i: 进入网卡的流量图的显示比例最大值设置 -m: 不显示流量图 -y install iftop 2)参数介绍 iftop界面相关说明: 1 2 3 4 5 6 7 <= =>这两个箭头代表的是流量的流出和流入方向 TX: 发送流量 RX: 接收流量 TOTAL : 总流量 Cumm: 运行iftop到目前为止的总流量 peak: 流量峰值 rates: 分别表示过去2s,10s,40s的平均流量 iftop相关参数: 1 2 3 4 5 -i: 指定监测的网卡

    2.6K40

    关注

    腾讯云开发者公众号
    10元无门槛代金券
    洞察腾讯核心技术
    剖析业界实践案例
    腾讯云开发者公众号二维码

    相关产品

    • VPN 连接

      VPN 连接

      VPN 连接是一种基于网络隧道技术 ,实现本地数据中心与腾讯云上资源连通的传输服务 ,它能帮您在 Internet 上快速构建一条安全、可靠的加密通道。VPN 连接具有配置简单 ,云端配置实时生效、可靠性高等特点 ,其VPN网关可用性达到 99.95% ,保证稳定、持续的业务连接 ,帮您轻松实现异地容灾、混合云部署等复杂业务场景……

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券