Un PAYLOAD sous Wireshark ?

Kamus -  
 Kamus -
Bonsoir,


Ca fait un bon bout de temps que j'me dit que j'ai un malware/spyware qui traine et qui est plus ou moins actif (comportement étrange de mon DNS, de mes navigateurs, espage stockage augmente sans trop de raison, connexion ralentie, ...). Pour cause : mon PC est une passoire. Notez que je suis étudiant en administration réseau, j'ai quelques bases mais suis loin d’être opérationnel ! :^)


J'la fait bref, j'approfondierai sur un autre forum selon vos conseils. Quand on voit cette suite d'évenememnts sous Wireshark, on est d'accord que ça sent le roussie non ?
- une IP m'envoi via QUIC, avec comme info "PAYLOAD (encrypted)" à plusieurs reprises
- juste après, le protocole SSDP s'enflamme
- d'autres payload arrivent

Je ne sais pas vraiment comment investiguer d'avantage.

Egalement, de "drôles" de certificats se trouvent dans ma mmc, sous "éditeur approuvé".
A voir également:

2 réponses

Réponse 1 / 2
brupala Messages postés 111693 Date d'inscription   Statut Membre Dernière intervention   14 076
 
Salut,
j'ai quelques bases mais suis loin d’être opérationnel ! :^)

En effet, oui,
continue d'apprendre et reviens quand tu en sauras pluche.
0
Réponse 2 / 2
Kamus
 
J'demanderai conseil demain à mon prof pour des logiciel pouvant générer des logs afin d'approfondir d'avantage...

Dans la liste des symptômes, une connexion tunnel isatap est apparue il y a quelques semaines, alors que j'n'ai rien installé (ça à le mérite de m'apprendre de nouveaux services et protocoles, faut positiver)
0
brupala Messages postés 111693 Date d'inscription   Statut Membre Dernière intervention   14 076
 
Oui ...
tu as encore tout le temps de positiver ....
0
Kamus
 
J'ai peur de ma interpréter ta réponse !

J'ai fait un whois, l'ip en question (64.233.166.189) appartient à google... Ca voudrait dire qu'un payload n'est pas forcément malicieux ? Ou que le gars se fait passer pour google ? (Ou que google m'en veut ? :'( )
0
Kamus
 
(En effet, oui,
continue d'apprendre et reviens quand tu en sauras pluche.

Ca veut dire que les noobs qui ont envie d'apprendre ne peuvent pas s'intéresser à la santé de leurs machine et en discuter sur des forums ? :x)
0
brupala Messages postés 111693 Date d'inscription   Statut Membre Dernière intervention   14 076 > Kamus
 
Si, mais tous seuls, on prend des bouquins, pas des forums.
Les forums peuvent très vite te faire basculer dans le n'importe quoi.
Les bouquins, les RFC, beaucoup moins.
Donc
tu bosses l' apprentissage des protocoles et tu verras que payload n'est pas un monstre, mais juste des données transportées.
0
Kamus > brupala Messages postés 111693 Date d'inscription   Statut Membre Dernière intervention  
 
Tu as bien raison, encore merci de tes réponses.

Je viens de reprendre les études, je vois les forums comme le "petit plus de curiosité". Pas évident de mêler impatience de savoir et rigueur, mais comme tu le dis, un bouquin est fait pour ça (et ce sera surement plus digeste que les RFC)
0