采用抓包工具对杀毒软件的一些分析作者：陈一匡来源：《电脑知识与技术》2014年第25期摘要：采用两款有名的抓包工具wireshark和iptool对一些常用的杀毒软件进行抓包。对抓取的数据包进行一些分析，从中得到一些有用的信息。关键词：wireshark；iptool；360；小红伞中图分类号：TP393文献标识码：A文章编号：1009-3044（2014）25-5869-04AnalysesonSomeAnti-virusSoftwaresbySnifferSoftwaresCHENYi-kuang（Dept.ofPhys.andElec.Tech.HanshanTeachersCollege，Chaozhou521041，China）Abstract：Coughtdatapacketsfromsomefamousanti-virussoftwaresbyusingtowwell-knownsniffersoftwares.Analyzesuchdatapacketstogetsomeusefulinformation.Keywords：wireshark；iptool；360；avira随着计算机网络的快速发展，越来越多的软件通过网络实现远程操控和升级。杀毒软件作为保护计算机安全的软件，是所有应用软件中最常安装的。同时，基于其保护计算机免受侵害的目的，杀毒软件一般会随着计算机的开启而运行，在计算机关闭时才停止工作。为了更好的保护计算机，杀毒软件通常被设置成自动更新病毒库。这就存在这样一种可能性，杀毒软件可以通过网络从服务器上下载并安装文件，还可以收集用户计算机上的信息并上传到服务器，而用户可能对上述情况毫不知情。要想弄清上述事情是否发生，通常需要掌握各种杀毒软件的运行机理，显然普通用户很难有足够的时间和精力去掌握足够的知识来完成这项工作。该文介绍几个简单的方法，让普通用户可以自行对杀毒软件进行检测，然后做出自己的判断。1抓包工具及其应用抓包工具是拦截查看网络数据包内容的软件。通过对抓获的数据包进行分析，可以得到有用的信息。目前流行的抓包工具有很多，比较出名的有wireshark、sniffer、httpwatch、iptool等。这些抓包工具功能各异，但基本原理相同。我们的计算机通过向网络上传和从网络下载一些数据包来实现数据在网络中的传播。通常这些数据包会由发出或者接受的软件自行处理，普通用户并不过问，这些数据包一般也不会一直保存在用户的计算机上。抓包工具可以帮助我们将这些数据包保存下来，如果这些数据包是以明文形式进行传送或者我们能够知道其加密方法，那么我们就可以分析出这些数据包的内容以及它们的用途。目前抓包工具更多的用于网络安全，比如查找感染病毒的计算机。有时也用于获取网页的源代码，以及了解攻击者所用方法、追查攻击者的ip地址等。2检测方法2.1检测原理安装纯净版的windowsXP操作系统并将操作系统升级到最新版本，然后关闭系统的自动更新。这样做的目的是保证在后面的整个检测过程中，向网络发送的数据包以及从网络接收数据包与windowsXP操作系统自身无关。安装某一款抓包工具进行检测，对可能抓取的数据包进行分析。安装某一款杀毒软件，将该软件升级到最新版本，病毒库更新至最新。关闭杀毒软件的自动更新以及上传可疑文件功能。完成这一步工作后，理论上杀毒软件就应该不会向网络上传数据包也不会从网络上下载数据包。通过前面安装的抓包工具进行抓包并对抓取的数据包进行分析。综合上述两次抓包的结果，得出自己的结论。2.2采用wireshark进行检测安装纯净版的windowsXP操作系统，更新到最新版本并关闭自动更新功能。安装抓包工具wireshark并进行抓包，如果是在局域网内使用，抓包工具抓取的数据包并非只属于用户的计算机，而是属于同一局域网内全部用户的计算机。所用应先查出用户自己的ip地址，然后进行过滤。具体的方法是在windowsXP的开始-运行对话框中，输入cmd，点确定。在弹出的MS-DOS界面的光标处输入ipconfig并回车，显示的IPAddress后面的值就是用户的ip地址。wireshark过滤有两种方式，一种是捕捉过滤，另一种是显示过滤。捕捉过滤用于决定将什么样的信息记录在捕捉结果中，也就是抓取哪个用户计算机发送和接收的数据包，需要在开始捕捉前进行设置。而显示过滤是在捕捉结果中进行查找，可以在得到捕捉结果后随意修改。捕捉过滤的设置，需要在wireshark菜单栏Capture-CaptureFilters中对Filterstring进行修改，比如设置成ip.scr==用户ip地址，则wireshark只抓取用户计算机发送...