摘要：采用兩款有名的抓包工具wireshark和iptool對一些常用的殺毒軟件進(jìn)行抓包。對抓取的數(shù)據(jù)包進(jìn)行一些分析，從中得到一些有用的信息。

關(guān)鍵詞：wireshark；iptool；360；小紅傘

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）25-5869-04

Analyses on Some Anti-virus Softwares by Sniffer Softwares

CHEN Yi-kuang

（Dept. of Phys. and Elec. Tech. Hanshan Teachers College， Chaozhou 521041， China）

Abstract： Cought data packets from some famous anti-virus softwares by using tow well-known sniffer softwares. Analyze such data packets to get some useful information.

Key words： wireshark； iptool； 360； avira

隨著計算機網(wǎng)絡(luò)的快速發(fā)展，越來越多的軟件通過網(wǎng)絡(luò)實現(xiàn)遠(yuǎn)程操控和升級。殺毒軟件作為保護(hù)計算機安全的軟件，是所有應(yīng)用軟件中最常安裝的。同時，基于其保護(hù)計算機免受侵害的目的，殺毒軟件一般會隨著計算機的開啟而運行，在計算機關(guān)閉時才停止工作。為了更好的保護(hù)計算機，殺毒軟件通常被設(shè)置成自動更新病毒庫。這就存在這樣一種可能性，殺毒軟件可以通過網(wǎng)絡(luò)從服務(wù)器上下載并安裝文件，還可以收集用戶計算機上的信息并上傳到服務(wù)器，而用戶可能對上述情況毫不知情。要想弄清上述事情是否發(fā)生，通常需要掌握各種殺毒軟件的運行機理，顯然普通用戶很難有足夠的時間和精力去掌握足夠的知識來完成這項工作。該文介紹幾個簡單的方法，讓普通用戶可以自行對殺毒軟件進(jìn)行檢測，然后做出自己的判斷。

1 抓包工具及其應(yīng)用

抓包工具是攔截查看網(wǎng)絡(luò)數(shù)據(jù)包內(nèi)容的軟件。通過對抓獲的數(shù)據(jù)包進(jìn)行分析，可以得到有用的信息。目前流行的抓包工具有很多，比較出名的有wireshark、sniffer、httpwatch、iptool等。這些抓包工具功能各異，但基本原理相同。我們的計算機通過向網(wǎng)絡(luò)上傳和從網(wǎng)絡(luò)下載一些數(shù)據(jù)包來實現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)中的傳播。通常這些數(shù)據(jù)包會由發(fā)出或者接受的軟件自行處理，普通用戶并不過問，這些數(shù)據(jù)包一般也不會一直保存在用戶的計算機上。抓包工具可以幫助我們將這些數(shù)據(jù)包保存下來，如果這些數(shù)據(jù)包是以明文形式進(jìn)行傳送或者我們能夠知道其加密方法，那么我們就可以分析出這些數(shù)據(jù)包的內(nèi)容以及它們的用途。

目前抓包工具更多的用于網(wǎng)絡(luò)安全，比如查找感染病毒的計算機。有時也用于獲取網(wǎng)頁的源代碼，以及了解攻擊者所用方法、追查攻擊者的ip地址等。

2 檢測方法

2.1檢測原理

安裝純凈版的windows XP操作系統(tǒng)并將操作系統(tǒng)升級到最新版本，然后關(guān)閉系統(tǒng)的自動更新。這樣做的目的是保證在后面的整個檢測過程中，向網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包以及從網(wǎng)絡(luò)接收數(shù)據(jù)包與windows XP操作系統(tǒng)自身無關(guān)。

安裝某一款抓包工具進(jìn)行檢測，對可能抓取的數(shù)據(jù)包進(jìn)行分析。

安裝某一款殺毒軟件，將該軟件升級到最新版本，病毒庫更新至最新。關(guān)閉殺毒軟件的自動更新以及上傳可疑文件功能。完成這一步工作后，理論上殺毒軟件就應(yīng)該不會向網(wǎng)絡(luò)上傳數(shù)據(jù)包也不會從網(wǎng)絡(luò)上下載數(shù)據(jù)包。

通過前面安裝的抓包工具進(jìn)行抓包并對抓取的數(shù)據(jù)包進(jìn)行分析。

綜合上述兩次抓包的結(jié)果，得出自己的結(jié)論。

2.2采用wireshark進(jìn)行檢測

安裝純凈版的windows XP操作系統(tǒng)，更新到最新版本并關(guān)閉自動更新功能。安裝抓包工具wireshark并進(jìn)行抓包，如果是在局域網(wǎng)內(nèi)使用，抓包工具抓取的數(shù)據(jù)包并非只屬于用戶的計算機，而是屬于同一局域網(wǎng)內(nèi)全部用戶的計算機。所用應(yīng)先查出用戶自己的ip地址，然后進(jìn)行過濾。具體的方法是在windows XP的開始-運行對話框中，輸入cmd，點確定。在彈出的MS-DOS界面的光標(biāo)處輸入ipconfig并回車，顯示的IP Address后面的值就是用戶的ip地址。wireshark過濾有兩種方式，一種是捕捉過濾，另一種是顯示過濾。捕捉過濾用于決定將什么樣的信息記錄在捕捉結(jié)果中，也就是抓取哪個用戶計算機發(fā)送和接收的數(shù)據(jù)包，需要在開始捕捉前進(jìn)行設(shè)置。而顯示過濾是在捕捉結(jié)果中進(jìn)行查找，可以在得到捕捉結(jié)果后隨意修改。捕捉過濾的設(shè)置，需要在wireshark菜單欄Capture-Capture Filters中對Filter string進(jìn)行修改，比如設(shè)置成ip.scr==用戶ip地址，則wireshark只抓取用戶計算機發(fā)送的數(shù)據(jù)包；設(shè)置成ip.dst==用戶ip地址，則wireshark只抓取用戶計算機接收的數(shù)據(jù)包。顯示過濾的設(shè)置很簡單，在wireshark主界面過濾后面的文本框中輸入ip.scr==用戶ip地址 and ip.dst==用戶ip地址，則wireshark只顯示用戶計算機發(fā)送和接收的數(shù)據(jù)包信息。如果用戶是采用無線網(wǎng)卡連接網(wǎng)絡(luò)，進(jìn)行抓包之前，必須將wireshark菜單欄Capture-Options中use promiscuous mode on all interfaces前面的勾去掉。

圖1顯示wireshark對純凈版windows XP操作系統(tǒng)進(jìn)行一個小時抓包的情況。用戶計算機發(fā)送和接收的數(shù)據(jù)包的目標(biāo)地址和來源地址都是在同一局域網(wǎng)內(nèi)，并沒有外網(wǎng)的ip地址，因此可以判斷出用戶計算機并未向局域網(wǎng)外發(fā)送或者接收數(shù)據(jù)包。

重新安裝純凈版的windows XP操作系統(tǒng)，更新到最新版本并關(guān)閉自動更新功能。安裝最新版的殺毒軟件小紅傘，更新病毒庫并關(guān)閉病毒庫的自動更新功能。用wireshark進(jìn)行一個小時抓取的數(shù)據(jù)包如圖7所示，可以看到用戶計算機發(fā)送和接收的數(shù)據(jù)包的目標(biāo)地址和來源地址都是在同一局域網(wǎng)內(nèi)，并沒有外網(wǎng)的ip地址，而且數(shù)據(jù)一直沒有變化，因此可以判斷出小紅傘并未向局域網(wǎng)外發(fā)送或者接收數(shù)據(jù)包。

2.3采用iptool進(jìn)行檢測

重新安裝純凈版的windows XP操作系統(tǒng)，更新系統(tǒng)然后關(guān)閉系統(tǒng)自動更新功能。安裝抓包工具iptool并進(jìn)行抓包，可以看到所有數(shù)據(jù)包的SEQ和ACK的值都為0，如圖8所示，說明操作系統(tǒng)與網(wǎng)絡(luò)沒有數(shù)據(jù)傳輸。

安裝最新版的360殺毒軟件，更新病毒庫并關(guān)閉病毒庫更新和可疑文件上傳等功能。用iptool抓取數(shù)據(jù)包，可以看到SEQ和ACK的值不再為0。打開其中任意一個數(shù)據(jù)包，可以發(fā)現(xiàn)其內(nèi)容是密文，如圖9和圖10所示。

重新安裝純凈版的windows XP操作系統(tǒng)，安裝殺毒軟件小紅傘，將兩者更新并關(guān)閉自動更新功能。用iptool進(jìn)行一個小時的抓包，如圖11所示，SEQ和ACK的值都為0，說明小紅傘沒有與網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸。

3 結(jié)束語

通過上述實驗，我們可以得到一些信息。在關(guān)閉自動更新和可疑文件上傳等功能之后360殺毒軟件仍然與服務(wù)器進(jìn)行數(shù)據(jù)交換，而且采用的是密文的形式。而小紅傘則沒有與網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸，小紅傘竊取用戶計算機上數(shù)據(jù)的可能性比較小。

參考文獻(xiàn)：

[1] 白潔.用Wireshark抓包分析幀格式[J].電腦知識與技術(shù)，2011（7）：6831-3835.

[2] 牟曉東.“抓”出來的秘密[J].電腦知識與技術(shù)，2013（1）：48-49.

[3] 莊嚴(yán)，張倩.入侵檢測系統(tǒng)中數(shù)據(jù)包截獲的研究與實現(xiàn)[J].電腦知識與技術(shù)，2011（7）：9378-9381.

[4] 陳一匡.淺析ARP欺騙對校園網(wǎng)的危害及防范[J].電腦知識與技術(shù)，2009（5）：7655-7656.