- ข้อความ
- ประวัติศาสตร์
Recently I have been going thru the
Recently I have been going thru the malware traffic exercises created by Brad Duncan of “malware-traffic-analysis.net”.
In my last post on a exercise I started wondering about the User-Agent strings used with malware as a way to possibly narrow in on the malware. The malware in the last post put a User-Agent string in the registry in it’s configuration key. I did not run down if that user agent string was used in the traffic or not do to a lack of an easy way to get a list of unique User-Agent strings.
As with a normal web page if the malware calls out to a certain page with a specially crafted User-Agent string it will respond a certain way. If a researcher try’s to look at that same page and uses a different User-Agent string then the page could respond totally different.
Over the last couple of days I’ve been working on a program that would get a list of unique User-Agent strings from a pcap file. Of course as I was writing the program I ended up with “scope creep”, I wanted it to do more that just return a list. It will now either get a full list of all locations where it finds the term “User-Agent” or will by default return just what it determines is a unique list along with the index location in hex where it was found.
What I found surprised me. There were also errors in the frames found.
Here is what it looks like using the latest exercise pcap from malware-traffic-analysis.net.
In my last post on a exercise I started wondering about the User-Agent strings used with malware as a way to possibly narrow in on the malware. The malware in the last post put a User-Agent string in the registry in it’s configuration key. I did not run down if that user agent string was used in the traffic or not do to a lack of an easy way to get a list of unique User-Agent strings.
As with a normal web page if the malware calls out to a certain page with a specially crafted User-Agent string it will respond a certain way. If a researcher try’s to look at that same page and uses a different User-Agent string then the page could respond totally different.
Over the last couple of days I’ve been working on a program that would get a list of unique User-Agent strings from a pcap file. Of course as I was writing the program I ended up with “scope creep”, I wanted it to do more that just return a list. It will now either get a full list of all locations where it finds the term “User-Agent” or will by default return just what it determines is a unique list along with the index location in hex where it was found.
What I found surprised me. There were also errors in the frames found.
Here is what it looks like using the latest exercise pcap from malware-traffic-analysis.net.
0/5000
เมื่อเร็ว ๆ นี้ ฉันได้รับจะผ่านการฝึกจราจรมัลแวร์ที่สร้าง โดยดันแคนแบรดของ "มัลแวร์การจราจร analysis.net"ลงครั้งสุดท้ายในการออกกำลังกาย ผมเริ่มสงสัยเกี่ยวกับสายอักขระตัวแทนผู้ใช้ที่ใช้มัลแวร์เพื่ออาจจะแคบลงในบนมัลแวร์ มัลแวร์ในการโพสต์ครั้งสุดท้ายใส่สายอักขระตัวแทนผู้ใช้ในรีจิสทรีคีย์การกำหนดค่าของมัน ฉันไม่ทำงานลงถ้าสายอักขระตัวแทนผู้ใช้ที่ใช้ในการจราจร หรือไม่ทำให้ขาดแบบง่าย ๆ ได้รายการของสตริงการแทนผู้ใช้เฉพาะเป็นกับหน้าเว็บปกติ ถ้ามัลแวร์เรียกออก ไปยังหน้าด้วยสายอักขระตัวแทนผู้ใช้ทำขึ้นเป็นพิเศษ มันจะตอบสนองต่อวิธีการบางอย่าง ถ้านักวิจัยลองของไป ดูที่หน้าเดียวกันนั้น และใช้เป็นสายอักขระตัวแทนผู้ใช้แตกต่างกัน แล้วหน้าอาจตอบแตกต่างกันโดยสิ้นเชิงตลอดสองวันของ ฉันได้ทำในโปรแกรมที่จะได้รับรายการของสตริงการแทนผู้ใช้ที่ไม่ซ้ำกันจากไฟล์ pcap แน่นอนเขียนโปรแกรมจบกับ "ขอบเขตคืบ" อยากจะทำเพิ่มเติมเพียงแค่ส่งกลับรายการ มันจะตอนนี้จะได้รับรายชื่อของสถานทั้งหมดที่พบคำว่า "ผู้แทน" หรือจะ โดยค่าเริ่มต้นกลับเพียงสิ่งกำหนดเป็นรายการที่ไม่ซ้ำกันพร้อมสถานที่ตั้งของดัชนีในฐานสิบหกที่พบสิ่งที่ฉันพบฉันประหลาดใจ นอกจากนี้ยังมีข้อผิดพลาดในเฟรมที่พบนี่คือสิ่งที่ดูเหมือนใช้ pcap ออกกำลังกายใหม่ล่าสุดจากมัลแวร์จราจร-analysis.net
การแปล กรุณารอสักครู่..
เร็ว ๆ นี้ผมได้รับจะผ่านการออกกำลังกายการจราจรมัลแวร์ที่สร้างขึ้นโดยแบรดดันแคน "malware-traffic-analysis.net".
ในโพสต์ล่าสุดของฉันเกี่ยวกับการออกกำลังกายผมเริ่มสงสัยเกี่ยวกับสตริง User-Agent ใช้กับมัลแวร์เป็นวิธีการอาจจะแคบ ในมัลแวร์ มัลแวร์ในการโพสต์ล่าสุดใส่สตริง User-Agent ในรีจิสทรีในมันเป็นกุญแจสำคัญในการกำหนดค่า ผมไม่ได้วิ่งลงไปว่าสตริงตัวแทนผู้ใช้ถูกนำมาใช้ในการจราจรหรือไม่ทำขาดเป็นวิธีที่ง่ายที่จะได้รับรายการของสตริงตัวแทนผู้ใช้ที่ไม่ซ้ำกัน.
เช่นเดียวกับหน้าเว็บปกติถ้ามัลแวร์โทรออกไปยังบาง หน้าเว็บที่มีสตริงตัวแทนผู้ใช้สร้างขึ้นเป็นพิเศษก็จะตอบสนองต่อวิธีการบางอย่าง หากนักวิจัยพยายามที่จะมองไปที่หน้าเดียวกันกับที่และใช้สตริงตัวแทนผู้ใช้ที่แตกต่างกันแล้วหน้าสามารถตอบสนองที่แตกต่างกันโดยสิ้นเชิง.
กว่าคู่สุดท้ายของวันที่ฉันได้รับการทำงานในโปรแกรมที่จะได้รับรายชื่อของที่ไม่ซ้ำกันที่ผู้ใช้ตัวแทน สตริงจากไฟล์ pcap แน่นอนขณะที่ผมกำลังเขียนโปรแกรมที่ผมจบลงด้วย "คืบขอบเขต" ฉันอยากให้มันทำอะไรได้มากกว่าที่เพิ่งกลับรายการ มันจะตอนนี้อย่างใดอย่างหนึ่งได้รับรายชื่อของทุกสถานที่ที่จะพบคำว่า "ตัวแทนผู้ใช้" หรือจะได้โดยการกลับมาเริ่มต้นเพียงแค่สิ่งที่จะกำหนดเป็นรายการที่ไม่ซ้ำกันพร้อมกับสถานที่ตั้งของดัชนีในฐานสิบหกที่มันถูกพบ.
สิ่งที่ฉันพบประหลาดใจ ผม. นอกจากนั้นยังมีข้อผิดพลาดในกรอบที่พบ.
นี่คือสิ่งที่ดูเหมือนว่าใช้ pcap การออกกำลังกายใหม่ล่าสุดจาก malware-traffic-analysis.net
ในโพสต์ล่าสุดของฉันเกี่ยวกับการออกกำลังกายผมเริ่มสงสัยเกี่ยวกับสตริง User-Agent ใช้กับมัลแวร์เป็นวิธีการอาจจะแคบ ในมัลแวร์ มัลแวร์ในการโพสต์ล่าสุดใส่สตริง User-Agent ในรีจิสทรีในมันเป็นกุญแจสำคัญในการกำหนดค่า ผมไม่ได้วิ่งลงไปว่าสตริงตัวแทนผู้ใช้ถูกนำมาใช้ในการจราจรหรือไม่ทำขาดเป็นวิธีที่ง่ายที่จะได้รับรายการของสตริงตัวแทนผู้ใช้ที่ไม่ซ้ำกัน.
เช่นเดียวกับหน้าเว็บปกติถ้ามัลแวร์โทรออกไปยังบาง หน้าเว็บที่มีสตริงตัวแทนผู้ใช้สร้างขึ้นเป็นพิเศษก็จะตอบสนองต่อวิธีการบางอย่าง หากนักวิจัยพยายามที่จะมองไปที่หน้าเดียวกันกับที่และใช้สตริงตัวแทนผู้ใช้ที่แตกต่างกันแล้วหน้าสามารถตอบสนองที่แตกต่างกันโดยสิ้นเชิง.
กว่าคู่สุดท้ายของวันที่ฉันได้รับการทำงานในโปรแกรมที่จะได้รับรายชื่อของที่ไม่ซ้ำกันที่ผู้ใช้ตัวแทน สตริงจากไฟล์ pcap แน่นอนขณะที่ผมกำลังเขียนโปรแกรมที่ผมจบลงด้วย "คืบขอบเขต" ฉันอยากให้มันทำอะไรได้มากกว่าที่เพิ่งกลับรายการ มันจะตอนนี้อย่างใดอย่างหนึ่งได้รับรายชื่อของทุกสถานที่ที่จะพบคำว่า "ตัวแทนผู้ใช้" หรือจะได้โดยการกลับมาเริ่มต้นเพียงแค่สิ่งที่จะกำหนดเป็นรายการที่ไม่ซ้ำกันพร้อมกับสถานที่ตั้งของดัชนีในฐานสิบหกที่มันถูกพบ.
สิ่งที่ฉันพบประหลาดใจ ผม. นอกจากนั้นยังมีข้อผิดพลาดในกรอบที่พบ.
นี่คือสิ่งที่ดูเหมือนว่าใช้ pcap การออกกำลังกายใหม่ล่าสุดจาก malware-traffic-analysis.net
การแปล กรุณารอสักครู่..
เมื่อเร็วๆนี้ฉันได้รับจะผ่านการจราจรที่สร้างขึ้นโดยมัลแวร์แบบแบรด ดันแคน " การวิเคราะห์การจราจรมัลแวร์ สุทธิ "ในการโพสต์ล่าสุดของฉันเกี่ยวกับการออกกำลังกายที่ผมเริ่มสงสัยเกี่ยวกับสตริงตัวแทนผู้ใช้กับมัลแวร์ที่ใช้เป็นวิธีการอาจจะแคบในมัลแวร์ มัลแวร์ในการโพสต์ล่าสุดใส่ตัวแทนผู้ใช้สตริงในรีจิสทรีในเป็นหลัก การตั้งค่า ผมไม่ได้วิ่งลงถ้าสตริงตัวแทนผู้ใช้ใช้ในการจราจร หรือ ไม่ทำ ไม่มีวิธีที่ง่ายที่จะได้รับรายการของสตริงตัวแทนผู้ใช้ที่ไม่ซ้ำกันเช่นเดียวกับหน้าเว็บปกติถ้ามัลแวร์เรียกหาหน้าแน่นอนกับ crafted พิเศษตัวแทนผู้ใช้สตริงจะตอบสนองวิธีการบางอย่าง ถ้านักวิจัยพยายามที่จะมองไปที่หน้าเดียวกันและใช้สตริงตัวแทนผู้ใช้แตกต่างกัน แล้วหน้าจะตอบสนองที่แตกต่างกันโดยสิ้นเชิงกว่าคู่สุดท้ายของวัน ฉันได้ทำงานในโปรแกรมที่จะได้รับรายการของสตริงตัวแทนผู้ใช้เฉพาะจากไฟล์ pcap . แน่นอน ขณะที่ผมกำลังเขียนโปรแกรมที่จบลงด้วย " คืบขอบเขต " ฉันต้องการมากกว่านั้นก็กลับรายการ แต่ตอนนี้จะให้เอารายชื่อของสถานที่ทั้งหมดที่พบคำว่า " ตัวแทน " ของผู้ใช้หรือจะกลับไปเริ่มต้นเพียงสิ่งที่จะกำหนดเป็นรายการพิเศษพร้อมกับสถานที่ที่ดัชนีในฐานสิบหกที่พบสิ่งที่ฉันพบว่าฉันประหลาดใจ มีข้อผิดพลาดในเฟรมที่พบนี่คือสิ่งที่ดูเหมือนว่าใช้ pcap การออกกำลังกายล่าสุดจาก malware-traffic-analysis.net .
การแปล กรุณารอสักครู่..
ภาษาอื่น ๆ
การสนับสนุนเครื่องมือแปลภาษา: กรีก, กันนาดา, กาลิเชียน, คลิงออน, คอร์สิกา, คาซัค, คาตาลัน, คินยารวันดา, คีร์กิซ, คุชราต, จอร์เจีย, จีน, จีนดั้งเดิม, ชวา, ชิเชวา, ซามัว, ซีบัวโน, ซุนดา, ซูลู, ญี่ปุ่น, ดัตช์, ตรวจหาภาษา, ตุรกี, ทมิฬ, ทาจิก, ทาทาร์, นอร์เวย์, บอสเนีย, บัลแกเรีย, บาสก์, ปัญจาป, ฝรั่งเศส, พาชตู, ฟริเชียน, ฟินแลนด์, ฟิลิปปินส์, ภาษาอินโดนีเซี, มองโกเลีย, มัลทีส, มาซีโดเนีย, มาราฐี, มาลากาซี, มาลายาลัม, มาเลย์, ม้ง, ยิดดิช, ยูเครน, รัสเซีย, ละติน, ลักเซมเบิร์ก, ลัตเวีย, ลาว, ลิทัวเนีย, สวาฮิลี, สวีเดน, สิงหล, สินธี, สเปน, สโลวัก, สโลวีเนีย, อังกฤษ, อัมฮาริก, อาร์เซอร์ไบจัน, อาร์เมเนีย, อาหรับ, อิกโบ, อิตาลี, อุยกูร์, อุสเบกิสถาน, อูรดู, ฮังการี, ฮัวซา, ฮาวาย, ฮินดี, ฮีบรู, เกลิกสกอต, เกาหลี, เขมร, เคิร์ด, เช็ก, เซอร์เบียน, เซโซโท, เดนมาร์ก, เตลูกู, เติร์กเมน, เนปาล, เบงกอล, เบลารุส, เปอร์เซีย, เมารี, เมียนมา (พม่า), เยอรมัน, เวลส์, เวียดนาม, เอสเปอแรนโต, เอสโทเนีย, เฮติครีโอล, แอฟริกา, แอลเบเนีย, โคซา, โครเอเชีย, โชนา, โซมาลี, โปรตุเกส, โปแลนด์, โยรูบา, โรมาเนีย, โอเดีย (โอริยา), ไทย, ไอซ์แลนด์, ไอร์แลนด์, การแปลภาษา.
- conditions
- คนข้างหลัง
- ชั้นที่ 4 ใช้ 8 กลีบสับหว่างกับชั้นที่ 3
- Machine cost Each approx. $3993 – $4295.
- inspiration
- During the cell cycle, centrosomes dupli
- ฉันนอนก่อนนะ
- You do not have to answer every question
- 부어있어도
- You're my only reason
- sourcing
- that's almost five times the temperature
- เราจะต้องเจอกับตัวเอง
- ฉันอาจจะไม่ตอบจดหมายคุณประมาณ 3 วัน
- Very cold you stay. Lol in kampheang phe
- ฉันไม่เก่งภาษาอังกฤษเลย
- ฉันนอนก่อนนะ
- โปรดรักฉันคนเดียวได้ไหม
- Seeet girl i love you muahhhhh
- ชั้นที่ 4 ใช้ 8 กลีบสับหว่างกับชั้นที่ 3
- ขับรถดีๆ
- Optimization of submerged culture condit
- Advances in Ophthalmology and Optometry
- ปฎิทิน
