上篇回顾:windows手工杀毒-寻找可疑进程之句柄
上篇我们简单介绍了如何通过句柄发现可疑进程,主要有两个方向,一个是通过命名句柄的名称,利用全局唯一的句柄名反向标识进程,另一个就是通过句柄查看进程占有的资源是否是恶意的。本篇介绍如何通过网络连接发现可疑进程
术语介绍:
网络协议:
通信时需要遵守的数据格式的规范,只有按照对应协议的格式构成的数据包才能被成功发送和接收
如果获取进程建立的网络连接
今天使用微软提供的又一工具TcpView
如何确定可疑网络连接
1. 公认端口
公认端口是网络中常用的端口,通常是相关服务的默认端口,比如443/tcp是HTTPS服务的默认端口,21/tcp FTP,22/tcp SSH, 3389/tcp mysql等等。所以这些端口通常对应固定功能的软件,如果发现某个软件滥用了公认端口,可能是利用公认端口规避恶意检测,这是可疑进程
2. 目标地址
可以利用网上的恶意情报中心搜索目标IP地址或域名,如果目标地址是恶意地址,那进程就是可疑进程。下面是几个常用的查询恶意情报的网站:
奇安信威胁情报中心 (qianxin.com)
威胁情报中心 (qq.com)
VirusTotal
