1、首先,我们需要开启科来网络分析器,针对当前使用的网络进行抓包;
2、第二步,开始分析我们抓出来的数据包,如下图,最上面的异常分析中,查看到协议有异常:5754个数据包,其中有IP的4242个,且NetBIOS有2296个;
3、双击查看可疑的数据包,发现当前主机发送了大量含端口137的数据包;初步分析病毒或木马在利用137端口发送大量的数据包;
4、在查看物理端点,仍然能看出问题,电脑没有进行任何操作,却在发送大量的数据包;
5、检查IP会话,发送数据包排行中,发送最多的仍然是发送给广播地址的137端口的数据包;
6、查看UDP会话,发送数据包排行,发现的现象仍然和ip会话类似,说明病毒是在利用137端口给整个网段发送数据包;
7、寻找封锁137端口的方法,可以百度一下,就知道了;如下图:
8、到此,成功的解决了137引起的电脑打开应用慢的问题,以上就是使用科来网络分析系统来分析电脑的病毒木马的方法了,喜欢的小伙伴带走~
