实验过程

• 1、计划任务监控

  在C盘根目录下建立一个netstatlog.bat文件，内容如下：

  date /t >> c:\netstatlog.txt
  time /t >> c:\netstatlog.txt
  netstat -bn >> c:\netstatlog.txt

  用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个任务，记录每隔两分钟计算机的联网情况。现在看一下神奇的两分钟一次的检查，时间截图

  

• 2、sysmon工具监控

  配置文件，使用老师提供的配置文件模板，简单修改，把微信、2345浏览器、QQ等放进了白名单，保存在E盘。同第一步要以管理员身份运行命令行，转到sysmon所在的目录下，使用sysmon.exe -i配置文件所在路径指令安装sysmon。找到文件夹。右键点击复制地址文本，然后就可以很方便的cd进入了.

  

  在"运行"窗口输入eventvwr命令，打开应用程序和服务日志，根据Microsoft->Windows->Sysmon->Operational路径找到记录文件。

  

  我开着记录了很多很多条，选择感兴趣的条目，在下方打开详细信息的友好视图，可以查看程序名、使用时间、目的ip、使用端口、通信协议类型等等信息。从事件1，事件2，事件3，和事件5都有记录

  qq音乐试听记录（事件3）

  

• 3.systracer注册表分析

  首先下载systracer，安装英文版之后再破解，安装中文语言库，之后捕获快照，点击take snapshot来快照，我拍摄了植入后门，运行后门，与目标主机回连，使用后门控制目标主机dir和摄像头的四个快照。

  

  第一张快照我们看一下我的后门5307.exe

  

  第二张快照我们看到运行的5307在回连时产生了很多变化，增加了许多

  

  后面的快照我们会发现一个opened ports，可以看到IP、端口

  

• 4、联网情况分析

  在后门程序回连时，在主机的命令行中用netstat -n命令查看TCP连接的情况，可以发现其中有进行回连的后门程序。并在回连时建立tcp连接

  

  在后门程序回连时，打开wireshark，进行捕包分析，查看详细的协议分析发现，后门程序建立了三次握手并回连时进行了基于IP和端口的连接

  

• 5、PEiD分析

  PEiD是一个常用的的查壳工具，可以分析后门程序是否加了壳，上周刚好有一个UPX加壳的

  

• 6、Process Monitor分析

  打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化，运行一下后门程序5307.exe，再刷新一下Process Monitor的界面，可以指定查找到5307.exe。

  

  用进程树也很容易找到运行的后门5307.exe

  

• 7、Process Explorer分析

  打开Process Explorer，运行后门程序5307.exe，在Process栏可以找到5307.exe

  双击后门程序0505.exe那一行，点击不同的页标签可以查看不同的信息，TCP/IP页签有程序的连接方式、回连IP、端口等信息。

  

  Performance页签有程序的CPU、I/O、Handles等相关信息。

  

  Strings页签有扫描出来的字符串。

  

  实验总结与体会

  这次实验我主要是参考了乔磊等同学的博客，在磊哥、杰哥、翔哥等同学的帮助下解决了一个又一个的问题。实验所需要的许多软件都由他们下载完毕之后拷给我，虽然都是小软件，我非常感激他们，我的实验之路因此愈发流畅了。刘老师的课安排的比较科学，实验和知识一起讲，比娄老师的课程设计更加有效。我实验中免不了要遇到很多问题，大多数都是我自己认真思考之后，或者问同学、或者自己解决的。我感觉我的实验能力至少上升了一个不大不小的阶，恶意代码的分析能力也可以在有工具的前提下进行一些简单的分析，现在自己一边回连，一边监视着自己的回连时IP地址，端口，感觉很有成就感。

原文地址：https://www.cnblogs.com/zhuanyedajiesanshinian/p/8858902.html