20155317《网络对抗》Exp4 恶意代码分析

20155317《网络对抗》Exp4 恶意代码分析

基础问题回答

  1. 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
  • 我首先会选择看任务管理器,查看系统下有什么进程,都在干些什么,不懂得就去网上搜索相关关键词。
  • 我会开启360安全卫士,利用360监控是否有恶意程序。

2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

  • 利用Process Explorer去分析进程在连接什么地址,在调用什么库。
  • 将程序放到 virscan上去检测。

实践内容

一.使用schtasks指令监控系统运行

首先说明一下schtask,它安排命令和程序定期运行或在指定时间内运行。从计划表中添加和删除任务,按需要启动和停止任务,显示和更改计划任务。简单来讲,它可以创建一个计划任务,让系统去自动运行。

1.首先在c盘目录下创建一个 netstatlog.bat 文件,在此这个批处理文件中,我们要填写我们要执行的计划任务

date /t >> c:\netstatlog.txt     //将时间写入该文件
time /t >> c:\netstatlog.txt     //将时间写入该文件
netstat -bn >> c:\netstatlog.txt //将网络连接情况写入该文件

2.在C盘下创建一个  netstatlog.txt  文件,此文件用于处理记录。

3.输入schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "c:\netstatlog.bat"  来执行任务 ,该语句的含义是每过一分钟便执行一次。

4.在执行到这里之后,每过一分钟,就会有更多的联网记录记录在TXT文件中,但是在实验过程中我出现了这样的情况。

我尝试过重新建立任务,发现并没有什么用处,最后我发现应该是权限不够导致的,我打算切换的administer来执行命令,最后找了这个网址,click ,有出现此类现象的同学完全可以参照这个解决,完成后便成功了

这是其中抓到的一个ip,去网上查ip发现是360的IP地址

分析未完,还在捕捉。。。。。()

二、使用sysmon工具监控系统运行

1.sysmon是Sysinternals套件中的一个工具,下载地址

首先对sysmon进行配置,在C盘下面建立Sysmoncfg.txt,用来存储安装指令,指令如下:

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

2.进入安装文件夹底下 输入命令Sysmon.exe -i C:\Sysmoncfg.txt 进行安装。

一开始我有安装失败的案例:

大家可以尝试像上个步骤一样,切换到管理员模式即可。

完成之后,大家可以在计划任务里查看相应的日志信息

这是我找到的,当时创建定时任务时所创建的日志信息,上面包含了利用的软件、使用的命令等等比较详细的信息。我们可以利用这个来查看进程的详细信息。

三、使用virscan分析恶意软件

本次使用网址查看病毒信息,发现并没有发现能够查看行为之类的信息,可能版本有变,比较可惜。。。。

四、使用systracer工具分析恶意软件

我利用systracer 软件对后门移入计算机之前、移入之后以及回连成功时的状态

后门植入之后,我们发现文件中多了后门程序

后门回连之后产生的变化,我们发现回连之后,运行的程序中多了后门程序,并且信息中包含连接信息

五、使用Process Explorer分析恶意软件

这是利用 Process Explorer查看的当时后门进行回连并且连接成功时的情况,上面包含连接的目的IP、连接的端口号、以及回连成功时的状态

这个是进程信息的进程号

六、使用Process Monitor分析恶意软件

在使用process monitor中,我首先遇到了一个错误:

这个错误其实是需要给予权限修改注册表的,大家在操作过程中如果出现这错误 ,大家直接打开360安全卫士,再运行此程序,360安全卫士会协助大家完成这个注册表的修改的。

这是我不小心在360开启的情况下,打开了后门程序,这上面是360的对其的一个监视程序。

七、使用wireshark分析恶意软件回连情况

通过wirseshark,我们可以看到win7的ip和kali的ip互相发送消息

这个是TCP建立连接时的三次握手

八、使用PEiD分析恶意软件

用PEID来分析,一查便发现用加壳了

实验总结

通过本次实验,我知道了许多分析恶意代码、恶意程序的方式方法,从比较简单的利用命令去记录网络连接情况,到后来使用软件去分析进程的详细信息等等,我觉得如果我以后想对我的系统进行一个检查,我不会再以杀软查杀木马病毒作为自己的唯一选择,我会像做的本次实验一样,利用这些方法去分析当前系统的运行状况,从而对系统有一个自己的认知和评价,总体来说,这次实验我认为收获很大!在以后的生活中,我也将多实践多运用这些方法。

原文地址:https://www.cnblogs.com/wxwddp/p/8798596.html

时间: 2024-12-18 00:44:15

20155317《网络对抗》Exp4 恶意代码分析的相关文章

2018-2019 20165208 网络对抗 Exp4 恶意代码分析

目录 2018-2019 20165208 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控(2分) 恶意软件分析(1.5分) 报告评分(1分) 基础问题回答 实践过程记录 1. 系统运行监控--计划任务 2. 系统运行监控--利用Sysmon 3. 恶意软件分析-- virscan网站 4. 恶意软件分析--Threatbook 5. 恶意软件分析--Systracer 实验中遇到的问题及解决方法 实验感想 2018-2019 20165208 网络对抗 Exp4 恶意代码分析 实验内

20145326蔡馨熠《网络对抗》——恶意代码分析

20145326蔡馨熠<网络对抗>--恶意代码分析 1.实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控.. 需要监控什么? 系统中各种程序.文件的行为. 还需要注意是否会出现权限更改的行为. 注册表. 是否有可疑进程. 如果有网络连接的情况,需要注意这个过程中的IP地址与端口. 用什么来监控? 最先想到的肯定是使用wireshark抓包了,再进行进一步分析. Sysinternals

20145306张文锦《网络对抗》恶意代码分析

20145306张文锦<网络对抗>恶意代码分析 1.schtasks监控系统运行 用图形界面配置计划任务.首先为新建任务设置名字:设置触发器为两分钟执行一次:设置操作. 过程中遇到了问题,需要用跟高的权限来运行. 以最高权限运行计划任务.结果: 检测到的应用有微信,IE浏览器,UC浏览器,Apple服务等. 2.使用sysmon工具监控系统运行 sysmon使用的配置文件是老师给的配置文件. 安装sysmon. 在事件查看器中查看日志 查看详细信息: qq,微信,浏览器,等应用. 3.使用vi

20155305《网络对抗》恶意代码分析

20155305<网络对抗>恶意代码分析 实验过程 1.计划任务监控 在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下: date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt 老师讲课后在课堂上就建立了这个windows批处理文件 netstatlog.bat文

20145310《网络对抗》恶意代码分析

一.基础问题回答 (1)总结一下监控一个系统通常需要监控什么.用什么来监控. 通常监控以下几项信息: 注册表信息的增删添改 系统上各类程序和文件的行为记录以及权限 实现网络连接的进程,使用的IP地址和端口号等 用以下软件工具来监控: TCPview工具查看系统的TCP连接信息 wireshark进行抓包分析,查看网络连接 sysmon用来监视和记录系统活动,并记录到windows事件日志,提供文件.进程等的详细信息 (2)如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程.恶意

20155307《网络对抗》恶意代码分析

实验过程 1.计划任务监控 在C盘根目录下建立一个netstatlog.bat文件,内容如下: date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt 用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个任务,记录每隔两分钟计算

20145225唐振远《网络对抗》Exp4 恶意代码分析

20145225唐振远<网络对抗>Exp4 恶意代码分析 基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 使用Windows自带的schtasks指令设置一个计划任务,指定每隔一定时间记录主机的联网记录或者是端口开放.注册表信息等等: 通过sysmon工具,配置好想记录事件的文件,之后在事件查看器里找到相关日志文件便可以查看: 使用Process Explorer工具,监视进程执行情况,查

2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析

2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析 1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行. 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systracer套件. 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质. 2.实践内容概述 系统运行监控 使用如计划任务,每隔一分钟记

2018-2019-2 网络对抗技术 20165318 Exp4 恶意代码分析

2018-2019-2 网络对抗技术 20165318 Exp4 恶意代码分析 原理与实践说明 实践目标 实践内容概述 基础问题回答 实践过程记录 1.使用schtasks指令监控系统 2.使用sysmon工具监控系统 恶意软件分析 3.使用VirusTotal分析恶意软件 4.使用PEiD分析恶意软件 5.使用PE Explorer分析恶意软件 6.使用Process Monitor分析恶意软件 7.使用Process Explorer分析恶意软件 8.使用systracer分析恶意软件 9.