昨天清理磁盘，整理旧文件的时候，轻信直接打开了wooyun zone里某位白帽子分享的工具，一时大意，中马了。

PC机上有个360安全卫士，也没有一丁点的提示。。。（这木马过360的）

随后我在修改subDomainsBrute的时候，抓dns query，惊讶地发现，出现了一个3322.org的域名，并且对应记录是不存在的，如下图：

以前玩远控木马的同学可能知道，3322.0rg，花生壳之类的，常常被用来木马在内网反向上线的。所以，这个地方十分不正常，这让我意识到，有较大的几率已经中马了。

用360安全卫士扫描，没有发现任何木马和危险项，之前也提到了，这个木马是过360的。

现在的问题是，如何抓到这个木马，我绕了一个弯子，因为我想从dns query入手来查找（正确的做法是打开进程查看器，逐个进程检查）：

1. 我们已经知道，木马会主动去连likang.3322.org，但是wireshark是抓不到进程pid，它仅仅支持从某一网卡抓包，并不关心包来自于哪个进程
2. 即使能抓到DNS查询的对应进程，其实也只能抓到windows下的DNS Client：svchost.exe进程，实际并无意义，我们依然不知道背后到底是哪个进程在请求likang.3322.org

在抓dns query源进程受阻的情况下，我想到，既然木马想访问likang.3322.org，而这个域名又不存在。 那么我应该可以欺骗它去访问我自己的服务器，我修改hosts文件，添加：

11.22.33.44	likang.3322.org

这个时候，我应该可以抓到访问likang.3322.org的其他请求了。

我用smartsniff抓包，发现有到目标11.22.33.44的http request，木马会请求http://likang.3322.org/ip.txt，看起来像是一个DDOS木马，下载攻击目标的。

这个时候我还是没抓到进程，对应的http://likang.3322.org/ip.txt文件并不存在，http request一瞬间就结束了，tcp查看工具因为刷新频率的原因，还看不到对应的进程。

于是我在11.22.33.44上python起了一个http server，并且让get请求hang住，sleep 30s，最终抓到了对应的进程：

如图，QQ进程：

总结一下，上面也说到，正确的做法，应该是查看进程列表，然后逐个检查进程是否正常，从 启动时间 |  可执行文件的创建日期 等特征对比。

绕个弯子，换了个思路。