背景
最近在处理应急的过程中经常分析一种场景。主机发生了有请求某个矿池域名,或请求木马域名解析的情况。但是我们通过传统的TCP、UDP监听软件,大多数只能监听到IP地址,无法直接的分析出DNS对应程序名。
有两种方法可以分析出DNS的情况,一种就是使用抓包软件对系统进行抓包,通过关联分析,逐步分析到进程。另一种就是这里分享的比较便捷快速的方法。
软件
分析需要两款软件进行配合,分别是:
DNSQuerySniffer
该软件主要用于实时监听电脑在运行时DNS解析的情况。
ProcessMonitor
该软件主要用于实时监听系统运行各软件情况。
分析思路
- 使用DNSQuerySniffer对DNS解析情况进行监听
- 使用ProcessMonito对系统进程进行监听
- 确定解析记录时间,使用时间+进程详情的方式进行关联分析
举例
如下图所示,我们对木马域名进行搜索,确定它的时间点。然后在ProcessMonito中查找对应时间点内的进程,查看详情进行分析。这个案例通过详情可以看到之所以产生了解析请求,是使用ping命令主动ping了该域名所产生。在实际分析场景中,根据实际情况进行分析。