实验内容
使用Windows计划任务schtasks监控系统运行
- 使用指令
schtasks /create /TN 20154327netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt
- 创建计划任务netstat
- 指令解释:
TN:Task Name,本例中是netstat
SC: SChedule type,本例中是MINUTE,以分钟来计时
MO: MOdifier
TR: Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口
- 在C盘创建一个文件netstatlog.bat,内容为:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
- 如上内容意在让我们的网络记录可以显示我们连接的网络的时间和日期信息
保存后我们将文件的后缀改为bat - 打开计划任务,找到我们刚刚创建的
- 在这里发现了惊喜,
- 排除后发现是快快游戏的定时任务,估计是什么时候玩贪玩蓝月安装的。
- 设置任务计划里的操作:
- 回连后,发现已于虚拟机建立连接:
使用Sysmon工具监控系统运行
- 在老师提供的网址中找到了最新的Sysmon下载
https://docs.microsoft.com/zh-cn/sysinternals/ - 配置xml,http://www.freebuf.com/sectool/122779.html
- 这里大家记得改版本号
- 一键安装:
sysmon -accepteula –i -n - 在命令行下使用sysmon -c xxx.xml命令可以对sysmon进行配置指定配置文件(安装时请用-i)
- 配置成功后,我们查看sysmon确实在运行呢,
- 在计算机管理工具-事件查看器下可以查看日志信息,日志位置在 应用程序和服务日志/Microsoft/Windows/Sysmon/Operational下
- 现在执行后门程序,kali上进行回连后观察事件查看器。
- 找到了
- 可以发现这是我们kali的ip地址。
- 这里发现后门调用了Explorer.EXE程序,这个程序大家应该不陌生吧,这里我猜测后门程序通过explorer.exe参数去调用了文件来执行所需功能。
使用在线沙盘分析恶意软件
- 由于哈勃关闭了普通用户进行行为分析,virscan也调用不了,这里我们使用两个国外的在线沙盘进行分析。
Threat Expert:
- 可以看到其启动回连主机的部分IP地址以及端口号
http://www.threatexpert.com/report.aspx?md5=e8a238be05c0850b9f2e2509dce60f81
VirusTotal
- 分析出了一堆看不懂的=-=
使用systracer工具分析恶意软件
1.在正常情况下,我们在win7虚拟机下快照保存为Snapshot #1;
2.Kali生成相应的后门,将文传到win7虚拟机下后快照保存为Snapshot #2;
3.Kali开启msf监听,在win7下运行后门程序后快照保存为Snapshot #3;
4.Kali对win7虚拟机进行权限操作后,在win7下快照保存为Snapshot #4;
使用火绒剑分析恶意软件行为
*这里给大家推荐一个国产良心杀软——火绒,这里用到的是火绒里面的火绒剑功能。
- 开启监控后,运行程序,查看程序所作出的所有行为。
- 我们可以看出后门程序建立了172.30.6.226:4327的连接,这个便是kali进行了回连的地址:也可以看到后门程序调用了许多dll,猜测正是调用了这些dll来实现。
Malware Defender
- 在xp虚拟机上打开Malware Defender,如图所示选择保护设置。
- 然后在工具-选项-保护-设置保护模式
1.学习模式, 可以检测特定程序的使用的关键API,比如: 创建文件,修改内存...但是不阻止
2.正常模式,正常模式则会在调用这些关键API之后,则会问你是否允许操作
3.安静模式,安静模式则不操作,不提示.
- 可以看出,主体在这里建立了172.30.6.226:4327的连接,这个便是kali进行了回连的地址。
PE explorer
去网上看大牛的分析都是用OD去看反汇编的,可惜自己不会
TCPview工具
未完待续!
原文地址:https://www.cnblogs.com/lovezh/p/8797007.html
时间: 2024-10-05 04:56:04