20155305《网络对抗》恶意代码分析

20155305《网络对抗》恶意代码分析

实验过程

1、计划任务监控

在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下:

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

老师讲课后在课堂上就建立了这个windows批处理文件

netstatlog.bat文件的作用是将记录的联网结果按格式输出到相同目录下的netstatlog.txt文件中。

schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个任务,记录每隔两分钟计算机的联网情况。

  • 这个时候极易出现拒绝访问的提示,我们可以用管理员权限打开命令提示符,百度经验网址

  • 其实因为上课时候已经用右键点击bat文件直接管理员运行过了,所以这次创建任务成功就一直盯着txt文件,一道光闪过,6kb大小的txt文件变成了9kb大小,蛮神奇的哈哈。以下列出部分活动链接截图

  • 现在看一下神奇的两分钟一次的检查,时间截图

2、sysmon工具监控

配置文件,使用老师提供的配置文件模板,简单修改,把微信、2345浏览器(一直用这个没用IE)、QQ等放进了白名单,保存在了E盘。

同第一步要以管理员身份运行命令行,转到sysmon所在的目录下,使用sysmon.exe -i 配置文件所在路径指令安装sysmon。

  • sysmon目录地址可以在解压老师的文件夹后,找到文件夹。右键点击复制地址文本,然后就可以很方便的cd进入了

  • 之后一定要提醒一波在命令行中安装sysmon大约需要两分钟,要耐心等会,别急着关掉

  • 在"运行"窗口输入eventvwr命令(我是直接输的,这个命令在哪个目录输都可以的),打开应用程序和服务日志,根据Microsoft->Windows->Sysmon->Operational路径找到记录文件。

我开着记录了很多很多条,选择感兴趣的条目,在下方打开详细信息的友好视图,可以查看程序名、使用时间、目的ip、使用端口、通信协议类型等等信息。从事件1,事件2,事件3,和事件5都有记录

  • 桌面搜索引擎记录(事件1)

  • 2345浏览器开启记录(事件2)

  • 网易云音乐听歌缓存的事件(事件3)

  • 逮到了一个进程,百度上各种说backgroundtaskhost超级超级占cpu,我电脑虽然没有感觉,但是最后查到这个是后台照片应用的进程(捕捉到的事件5也是有点不懂了)

3、virscan网站分析

在上次用来查杀程序的网站上,等一段时间后依旧出不来学长学姐们的行为分析,网站一直挂着,等了大约几歌小事后我绝望了,这个方法略过。估计一年过去网站有了一些变化,只能看看学长学姐的分析过过眼瘾了

4.systracer注册表分析

首先下载(只能自力更生下载一波)systracer下载网址

安装很简单虽然是英文版,之后捕获快照

  • 点击take snapshot来快照,我拍摄了植入后门,运行后门,与目标主机回连,使用后门控制目标主机dir和摄像头的四个快照。

  • 第一张快照我们看一下我的后门0505.exe

  • 第二张快照我们看到运行的0505在回连时产生了很多变化,增加了许多

  • 后面的快照我们会发现一个opened ports,可以清晰看到我们的端口

5、联网情况分析

在后门程序回连时,在主机的命令行中用netstat -n命令查看TCP连接的情况,可以发现其中有进行回连的后门程序

  • 回连时建立tcp连接

  • 在后门程序回连时,打开wireshark,进行捕包分析,查看详细的协议分析发现,后门程序建立了三次握手并回连时进行了基于IP和端口的连接

6、PEiD分析

PEiD是一个常用的的查壳工具,PEID下载网址,可以分析后门程序是否加了壳,这时候我们想起来上周有一个UPX加壳的(很鸡肋的壳)5305-2.exe

  • 妥妥被看出来是UPX加壳的

7、Process Monitor分析

Process Monitor下载网址

  • 打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序0505.exe,再刷新一下Process Monitor的界面,可以指定查找到0505.exe。

  • 用进程树也很容易找到运行的后门0505.exe

8、Process Explorer分析

Process Explorer下载网址

  • 打开Process Explorer,运行后门程序0505.exe,在Process栏可以找到0505.exe

  • 双击后门程序0505.exe那一行,点击不同的页标签可以查看不同的信息:

TCP/IP页签有程序的连接方式、回连IP、端口等信息。

  • Performance页签有程序的CPU、I/O、Handles等相关信息。

  • Strings页签有扫描出来的字符串,有些有意义,有些无意义。

  • 之后不一一进行截图,这是总体状态的监控

实验总结与体会

这次实验老师给了很少的参考,许多软件都需要自己下载,虽然都是小软件,但是老师上课说了,上他的课要有开放的思想,那就自己一个一个下载了试呗,总归是好奇心没有用完之前就做完了这次的实验,感觉以后监控电脑的能力至少上升了一个不大不小的阶,恶意代码的分析能力也可以在有工具的前提下进行一些简单的分析,看源码分析那纯粹不现实,现在自己一边回连,一边监视着自己的回连时IP地址,端口。成就感满满的,谢谢好奇心和老师给予的可以让大家好奇的实验。

原文地址:https://www.cnblogs.com/20155305ql/p/8762962.html

时间: 2024-10-12 12:36:32

20155305《网络对抗》恶意代码分析的相关文章

20145326蔡馨熠《网络对抗》——恶意代码分析

20145326蔡馨熠<网络对抗>--恶意代码分析 1.实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控.. 需要监控什么? 系统中各种程序.文件的行为. 还需要注意是否会出现权限更改的行为. 注册表. 是否有可疑进程. 如果有网络连接的情况,需要注意这个过程中的IP地址与端口. 用什么来监控? 最先想到的肯定是使用wireshark抓包了,再进行进一步分析. Sysinternals

20145239杜文超《网络对抗技术》- 恶意代码分析

20145239杜文超<网络对抗技术>- 恶意代码分析 实验后回答问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. (1)使用计划任务schtasks指令动态监控系统运行 (2)使用sysmon工具动态监控系统运行 2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. (1)使用systracer工具进行快照分析注册表信息.文件行为等信息的变化 (2)把程序放在vir

20145225唐振远《网络对抗》Exp4 恶意代码分析

20145225唐振远<网络对抗>Exp4 恶意代码分析 基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 使用Windows自带的schtasks指令设置一个计划任务,指定每隔一定时间记录主机的联网记录或者是端口开放.注册表信息等等: 通过sysmon工具,配置好想记录事件的文件,之后在事件查看器里找到相关日志文件便可以查看: 使用Process Explorer工具,监视进程执行情况,查

20145306张文锦《网络对抗》恶意代码分析

20145306张文锦<网络对抗>恶意代码分析 1.schtasks监控系统运行 用图形界面配置计划任务.首先为新建任务设置名字:设置触发器为两分钟执行一次:设置操作. 过程中遇到了问题,需要用跟高的权限来运行. 以最高权限运行计划任务.结果: 检测到的应用有微信,IE浏览器,UC浏览器,Apple服务等. 2.使用sysmon工具监控系统运行 sysmon使用的配置文件是老师给的配置文件. 安装sysmon. 在事件查看器中查看日志 查看详细信息: qq,微信,浏览器,等应用. 3.使用vi

20155317《网络对抗》Exp4 恶意代码分析

20155317<网络对抗>Exp4 恶意代码分析 基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 我首先会选择看任务管理器,查看系统下有什么进程,都在干些什么,不懂得就去网上搜索相关关键词. 我会开启360安全卫士,利用360监控是否有恶意程序. 2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. 利用Process Explorer去分析进程在连接什么地址

20155331《网络对抗技术》Exp4:恶意代码分析

20155331<网络对抗技术>Exp4:恶意代码分析 实验过程 计划任务监控 在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下: date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt 以管理员身份打开命令行,输入schtasks /create /TN net

2018-2019 20165208 网络对抗 Exp4 恶意代码分析

目录 2018-2019 20165208 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控(2分) 恶意软件分析(1.5分) 报告评分(1分) 基础问题回答 实践过程记录 1. 系统运行监控--计划任务 2. 系统运行监控--利用Sysmon 3. 恶意软件分析-- virscan网站 4. 恶意软件分析--Threatbook 5. 恶意软件分析--Systracer 实验中遇到的问题及解决方法 实验感想 2018-2019 20165208 网络对抗 Exp4 恶意代码分析 实验内

2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析

2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析 1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行. 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systracer套件. 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质. 2.实践内容概述 系统运行监控 使用如计划任务,每隔一分钟记

2018-2019-2 网络对抗技术 20165318 Exp4 恶意代码分析

2018-2019-2 网络对抗技术 20165318 Exp4 恶意代码分析 原理与实践说明 实践目标 实践内容概述 基础问题回答 实践过程记录 1.使用schtasks指令监控系统 2.使用sysmon工具监控系统 恶意软件分析 3.使用VirusTotal分析恶意软件 4.使用PEiD分析恶意软件 5.使用PE Explorer分析恶意软件 6.使用Process Monitor分析恶意软件 7.使用Process Explorer分析恶意软件 8.使用systracer分析恶意软件 9.