我能用Wireshark检测恶意软件下载吗？

Question

我最近一直在研究Wireshark。我正在学习恶意软件行为，但我很想知道是否存在检测系统上恶意软件下载(通过驱动程序下载)的方法。

反病毒程序抓到了他们，但是，我们是否有可能看到那些被下载的恶意软件(使用Wireshark)？Wireshark中的哪些通知帮助我们识别它们？

Answer 1

回答是肯定的，基本上您指的是NIDS (网络入侵检测系统)，请记住Wireshark不是NDIS，因此在这种情况下，您需要自己进行检测/分析。

并非所有检测恶意软件的案例都由NIDS覆盖，并且取决于系统的特性，但是从网络的角度来看，您可以检测到很高比例的恶意软件。显然，这取决于您想要检测的恶意软件的很多类型，例如，如果用户从站点下载带有恶意软件的可执行文件(通过TLS连接) NDIS并不有效，这就是为什么拥有AV是好的。

一个很好的例子来源是lists.emergingthreats.net，如果你想玩wireshark和pcap的恶意软件。