在分析恶意软件样本的网络行为而不将其连接到

2020-01-02 06:57栏目:互联网

  可以动态生成证书,其中CN值动态设置为请求的主机名,并将网络流量以解密形式保存到PCAP文件。因此,最好用PolarProxy替换INetSim中的TLS服务,该服务将用作

  而又不允许恶意软件连接到Internet。或参与DDoS攻击)的最安全方法是在脱机环境中运行受害计算机。可以在分析完成后将其还原到干净状态。执行恶意软件的受害计算机通常是虚拟机,这就是为什么大多数恶意软件实验室都需要“假冒Internet”的原因。但是,该环境可用于分析加密的HTTPS和SMTPS流量,这是一个有关如何为动态恶意软件分析设置环境的教程,恶意软件的网络流量分析是动态恶意软件分析的核心部分,防止恶意软件感染其他计算机或做其他不良行为(例如发送垃圾邮件动态恶意软件分析(或行为分析)是通过观察恶意软件运行时的行为来执行的。

  INetSim的TLS加密还禁止分析在恶意软件实验室中捕获的网络流量,例如C2流量或SPAM运行,因为应用程序层流量已加密。PolarProxy可以解决这两个问题,因为它

  INetSim是一个软件套件,可以模拟常见的Internet服务,例如HTTP,DNS和SMTP,在分析恶意软件样本的网络行为而不将其连接到Internet时非常有用。INetSim还具有对TLS加密协议(如HTTPS,SMTPS,POP3S和FTPS)的基本支持,

  但需要在启动时加载预定义的X.509证书。这可能导致恶意软件终止,因为提供的证书中的通用名称(CN)与请求的服务器名称不匹配。不管访问哪个网站,受害机器实际上都会获得完全相同的证书。

今日相关新闻

  • 据说吃完到口香糖可以将灰尘沾去
  • 用手按或捏革面时
  • “机遇只偏爱有头脑准备的人”大学生只有通过
  • ”伊“国家信息网络”(NIN)也被称为“国家互
  • 我想知道的是最终的追答可是目前给出的信息只