文章总结： 本文介绍了使用Wireshark快速捕获恶意软件C2通信的方法，通过设置DNS过滤器(port53)监控恶意软件的网络行为。文章详细说明了安装配置、抓包设置、结果分析等步骤，并提供了针对虚拟机环境、非标准端口和加密DNS的注意事项。Wireshark因其零代码、全面性和实时性成为推荐工具，而ProcessMonitor可作为备用方案。 综合评分： 91 文章分类： 恶意软件,威胁情报,网络安全

恶意软件分析快速捕获C2通信

原创

独特三明治

SOC安全分析之旅

2025年10月26日 18:24 上海

01

如何恶意软件分析快速捕获C2通信

步骤说明（以 Windows 为例）：

1. 安装 Wireshark

从官网 https://www.wireshark.org 下载并安装。

1. 启动抓包

打开 Wireshark，选择恶意软件所在的网络接口（如当前网卡或虚拟机网卡）。

点击左上角蓝色鲨鱼鳍图标（Start Capture）。

1. 设置过滤器

在过滤栏输入（直接复制以下内容）：

port  53

此过滤器仅显示DNS查询流量，且目标端口为53

1. 运行恶意软件

执行恶意程序，触发其DNS查询行为。

1. 查看捕获结果

DNS请求会显示在列表中，Info 列会标明查询的域名（如 A example.com）。

键任意DNS包 → Follow → UDP Stream，可查看完整会话。

1. 保存结果

点击菜单栏 File → Save 保存抓包文件供后续分析。

注意事项：

• 捕获所有网络接口：若恶意软件运行在虚拟机中，需选择虚拟机对应的虚拟网卡（如VMware的 VMnet1）。

• 非标准端口或加密DNS：

若未捕获到结果，尝试扩大过滤器范围，如 udp（所有UDP流量）或 tcp.port == 443（检测DoH）。若恶意软件使用 DNS over HTTPS（DoH），需解密TLS流量（难度较高）。

• 快速验证：运行 nslookup google.com 命令测试抓包是否正常，确认工具配置正确。

为什么推荐 Wireshark？

• 零代码：无需编程或钩子技术。

• 全面性：捕获所有DNS流量（包括非API调用和底层报文）。

• 实时性：结果立即可见，适合快速验证。

备用方案：

若需监控具体进程，可使用 Process Monitor（Procmon）的 UDP Send/TCP Connect 事件，但需手动筛选DNS相关行为。