摘要：采用两款有名的抓包工具wireshark和iptool对一些常用的杀毒软件进行抓包。对抓取的数据包进行一些分析，从中得到一些有用的信息。

关键词：wireshark；iptool；360；小红伞

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）25-5869-04

Analyses on Some Anti-virus Softwares by Sniffer Softwares

CHEN Yi-kuang

（Dept. of Phys. and Elec. Tech. Hanshan Teachers College， Chaozhou 521041， China）

Abstract： Cought data packets from some famous anti-virus softwares by using tow well-known sniffer softwares. Analyze such data packets to get some useful information.

Key words： wireshark； iptool； 360； avira

随着计算机网络的快速发展，越来越多的软件通过网络实现远程操控和升级。杀毒软件作为保护计算机安全的软件，是所有应用软件中最常安装的。同时，基于其保护计算机免受侵害的目的，杀毒软件一般会随着计算机的开启而运行，在计算机关闭时才停止工作。为了更好的保护计算机，杀毒软件通常被设置成自动更新病毒库。这就存在这样一种可能性，杀毒软件可以通过网络从服务器上下载并安装文件，还可以收集用户计算机上的信息并上传到服务器，而用户可能对上述情况毫不知情。要想弄清上述事情是否发生，通常需要掌握各种杀毒软件的运行机理，显然普通用户很难有足够的时间和精力去掌握足够的知识来完成这项工作。该文介绍几个简单的方法，让普通用户可以自行对杀毒软件进行检测，然后做出自己的判断。

1 抓包工具及其应用

抓包工具是拦截查看网络数据包内容的软件。通过对抓获的数据包进行分析，可以得到有用的信息。目前流行的抓包工具有很多，比较出名的有wireshark、sniffer、httpwatch、iptool等。这些抓包工具功能各异，但基本原理相同。我们的计算机通过向网络上传和从网络下载一些数据包来实现数据在网络中的传播。通常这些数据包会由发出或者接受的软件自行处理，普通用户并不过问，这些数据包一般也不会一直保存在用户的计算机上。抓包工具可以帮助我们将这些数据包保存下来，如果这些数据包是以明文形式进行传送或者我们能够知道其加密方法，那么我们就可以分析出这些数据包的内容以及它们的用途。

目前抓包工具更多的用于网络安全，比如查找感染病毒的计算机。有时也用于获取网页的源代码，以及了解攻击者所用方法、追查攻击者的ip地址等。

2 检测方法

2.1检测原理

安装纯净版的windows XP操作系统并将操作系统升级到最新版本，然后关闭系统的自动更新。这样做的目的是保证在后面的整个检测过程中，向网络发送的数据包以及从网络接收数据包与windows XP操作系统自身无关。

安装某一款抓包工具进行检测，对可能抓取的数据包进行分析。

安装某一款杀毒软件，将该软件升级到最新版本，病毒库更新至最新。关闭杀毒软件的自动更新以及上传可疑文件功能。完成这一步工作后，理论上杀毒软件就应该不会向网络上传数据包也不会从网络上下载数据包。

通过前面安装的抓包工具进行抓包并对抓取的数据包进行分析。

综合上述两次抓包的结果，得出自己的结论。

2.2采用wireshark进行检测

安装纯净版的windows XP操作系统，更新到最新版本并关闭自动更新功能。安装抓包工具wireshark并进行抓包，如果是在局域网内使用，抓包工具抓取的数据包并非只属于用户的计算机，而是属于同一局域网内全部用户的计算机。所用应先查出用户自己的ip地址，然后进行过滤。具体的方法是在windows XP的开始-运行对话框中，输入cmd，点确定。在弹出的MS-DOS界面的光标处输入ipconfig并回车，显示的IP Address后面的值就是用户的ip地址。wireshark过滤有两种方式，一种是捕捉过滤，另一种是显示过滤。捕捉过滤用于决定将什么样的信息记录在捕捉结果中，也就是抓取哪个用户计算机发送和接收的数据包，需要在开始捕捉前进行设置。而显示过滤是在捕捉结果中进行查找，可以在得到捕捉结果后随意修改。捕捉过滤的设置，需要在wireshark菜单栏Capture-Capture Filters中对Filter string进行修改，比如设置成ip.scr==用户ip地址，则wireshark只抓取用户计算机发送的数据包；设置成ip.dst==用户ip地址，则wireshark只抓取用户计算机接收的数据包。显示过滤的设置很简单，在wireshark主界面过滤后面的文本框中输入ip.scr==用户ip地址 and ip.dst==用户ip地址，则wireshark只显示用户计算机发送和接收的数据包信息。如果用户是采用无线网卡连接网络，进行抓包之前，必须将wireshark菜单栏Capture-Options中use promiscuous mode on all interfaces前面的勾去掉。

图1显示wireshark对纯净版windows XP操作系统进行一个小时抓包的情况。用户计算机发送和接收的数据包的目标地址和来源地址都是在同一局域网内，并没有外网的ip地址，因此可以判断出用户计算机并未向局域网外发送或者接收数据包。

重新安装纯净版的windows XP操作系统，更新到最新版本并关闭自动更新功能。安装最新版的杀毒软件小红伞，更新病毒库并关闭病毒库的自动更新功能。用wireshark进行一个小时抓取的数据包如图7所示，可以看到用户计算机发送和接收的数据包的目标地址和来源地址都是在同一局域网内，并没有外网的ip地址，而且数据一直没有变化，因此可以判断出小红伞并未向局域网外发送或者接收数据包。

2.3采用iptool进行检测

重新安装纯净版的windows XP操作系统，更新系统然后关闭系统自动更新功能。安装抓包工具iptool并进行抓包，可以看到所有数据包的SEQ和ACK的值都为0，如图8所示，说明操作系统与网络没有数据传输。

安装最新版的360杀毒软件，更新病毒库并关闭病毒库更新和可疑文件上传等功能。用iptool抓取数据包，可以看到SEQ和ACK的值不再为0。打开其中任意一个数据包，可以发现其内容是密文，如图9和图10所示。

重新安装纯净版的windows XP操作系统，安装杀毒软件小红伞，将两者更新并关闭自动更新功能。用iptool进行一个小时的抓包，如图11所示，SEQ和ACK的值都为0，说明小红伞没有与网络进行数据传输。

3 结束语

通过上述实验，我们可以得到一些信息。在关闭自动更新和可疑文件上传等功能之后360杀毒软件仍然与服务器进行数据交换，而且采用的是密文的形式。而小红伞则没有与网络进行数据传输，小红伞窃取用户计算机上数据的可能性比较小。

参考文献：

[1] 白洁.用Wireshark抓包分析帧格式[J].电脑知识与技术，2011（7）：6831-3835.

[2] 牟晓东.“抓”出来的秘密[J].电脑知识与技术，2013（1）：48-49.

[3] 庄严，张倩.入侵检测系统中数据包截获的研究与实现[J].电脑知识与技术，2011（7）：9378-9381.

[4] 陈一匡.浅析ARP欺骗对校园网的危害及防范[J].电脑知识与技术，2009（5）：7655-7656.