我正在对一个发送电子邮件的恶意软件进行恶意软件分析。该恶意软件包含一些硬编码的电子邮件地址。它使用 Google SMTP 发送电子邮件,我不确定它是如何工作的
首先,恶意软件发出一个 DNS 请求来解析谷歌的 SMTP 服务器 IP。 DNS查询
然后它启动 3 次握手 TCP 与 google 的服务器 握手 3 次与 google SMTP 服务器握手
然后恶意软件发送一封电子邮件,但我不确定它如何通过谷歌服务器进行身份验证或识别将电子邮件发送到哪里。 服务器和恶意软件之间的 TCP 通信流
这是原始的 pcapng 文件:wetransfer 中的 pcap 文件
我的问题是 Google SMTP 如何解决将电子邮件发送给谁的问题?还有可能有一个类似于 fakedns 的假 google SMTP 服务器,以便我可以接收电子邮件吗?