20145235李涛《网络对抗技术》- 恶意代码分析

基础问答

  • 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

    • 可以通过计划任务,来建立一个定时更新的日志来查看
    • 通过sysmon来监控。
    • 通过Process Explorer工具,查看是否有程序调用了异常的dll库
  • 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
    • 可以通过抓包工具,进行分析。
    • 通过systracer工具分析某个程序执行前后,计算机注册表、文件、端口的一些变化情况。
    • 通过

使用schtasks指令监控系统运行

  • 先在C盘目录下建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstatlog.txt文件中,netstatlog.bat内容为:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
  • 输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务:
  • 查看一下netstatlog.txt文件,可以看到所有进程的活动链接了

使用sysmon工具监控系统运行

  • 通过实验指导,先搞定了配置文件,接着安装sysmon

  • 打开事件查看器之后,找到sysmon,可以发现sysmon的事件日志

随便点开了一个看看详细信息,发现是360的。

利用SysTracer 分析

使用分析

实验感想:

通过本次试验,从监测发现可疑文件到对可疑代码进行分析再到确认恶意代码,收获是不少的。这次学习,学会了杀毒软件所不能解决的事情。上次做免杀得知,杀毒软件的检测是基于恶意代码的特征吗进行识别的。如果一个恶意代码的特征码不在杀毒软件的特征库里,那么后果是不堪设想的。作为学信息安全的人来说,掌握本次是实验所要掌握的的东西是必须的。通过本次试验,有收获,挺好。

时间: 2024-10-06 16:25:34

20145235李涛《网络对抗技术》- 恶意代码分析的相关文章

20145326蔡馨熠《网络对抗》——恶意代码分析

20145326蔡馨熠<网络对抗>--恶意代码分析 1.实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控.. 需要监控什么? 系统中各种程序.文件的行为. 还需要注意是否会出现权限更改的行为. 注册表. 是否有可疑进程. 如果有网络连接的情况,需要注意这个过程中的IP地址与端口. 用什么来监控? 最先想到的肯定是使用wireshark抓包了,再进行进一步分析. Sysinternals

20145306张文锦《网络对抗》恶意代码分析

20145306张文锦<网络对抗>恶意代码分析 1.schtasks监控系统运行 用图形界面配置计划任务.首先为新建任务设置名字:设置触发器为两分钟执行一次:设置操作. 过程中遇到了问题,需要用跟高的权限来运行. 以最高权限运行计划任务.结果: 检测到的应用有微信,IE浏览器,UC浏览器,Apple服务等. 2.使用sysmon工具监控系统运行 sysmon使用的配置文件是老师给的配置文件. 安装sysmon. 在事件查看器中查看日志 查看详细信息: qq,微信,浏览器,等应用. 3.使用vi

20155305《网络对抗》恶意代码分析

20155305<网络对抗>恶意代码分析 实验过程 1.计划任务监控 在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下: date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt 老师讲课后在课堂上就建立了这个windows批处理文件 netstatlog.bat文

2018-2019 20165208 网络对抗 Exp4 恶意代码分析

目录 2018-2019 20165208 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控(2分) 恶意软件分析(1.5分) 报告评分(1分) 基础问题回答 实践过程记录 1. 系统运行监控--计划任务 2. 系统运行监控--利用Sysmon 3. 恶意软件分析-- virscan网站 4. 恶意软件分析--Threatbook 5. 恶意软件分析--Systracer 实验中遇到的问题及解决方法 实验感想 2018-2019 20165208 网络对抗 Exp4 恶意代码分析 实验内

20145310《网络对抗》恶意代码分析

一.基础问题回答 (1)总结一下监控一个系统通常需要监控什么.用什么来监控. 通常监控以下几项信息: 注册表信息的增删添改 系统上各类程序和文件的行为记录以及权限 实现网络连接的进程,使用的IP地址和端口号等 用以下软件工具来监控: TCPview工具查看系统的TCP连接信息 wireshark进行抓包分析,查看网络连接 sysmon用来监视和记录系统活动,并记录到windows事件日志,提供文件.进程等的详细信息 (2)如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程.恶意

20155307《网络对抗》恶意代码分析

实验过程 1.计划任务监控 在C盘根目录下建立一个netstatlog.bat文件,内容如下: date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt 用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个任务,记录每隔两分钟计算

20145326蔡馨熤《网络对抗》——恶意代码伪装技术实践

20145326蔡馨熤<网络对抗>--恶意代码伪装技术实践 一.木马化正常软件 基于之前的后门程序,做一些修改.再将修改后的程序的名字改成一个正常软件的名字,蒙蔽用户的眼睛.哈哈哈,瞬间觉得自己好阴险.因为之前安装过Systracer这个工具,这次就把后门程序的名字改为"Systracer安装程序". 然后双击运行"Systracer安装程序.exe".并且成功回连到Kali. 但是有个不足之处,就是程序运行后,会弹出一个类似命令行的"黑框&q

20145309 《网络攻防》恶意代码分析

一.基础问题回答 (1)总结一下监控一个系统通常需要监控什么.用什么来监控. 注册表信息的增删添改,系统上各类程序和文件的行为记录以及权限,实现网络连接的进程,使用的IP地址和端口号等 使用Schtasks指令.sysmon.TCPView.WireShark等工具 (2)如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程.恶意代码相关文件. 首先使用静态分析将其上传至扫描网站.后使用TCPView工具查看正在联网的进程,进行的初步分析,再通过sysmon事件日志,找到怀疑的程

恶意代码分析技术

1.恶意代码分析技术 恶意代码分析有两类方法:静态分析和动态分析.静态分析方法是在没有运行恶意代码时对其进行分析的技术,而动态分析方法则需要运行恶意代码,而这两类技术又进一步分析基础技术和高级技术. 1).静态分析技术基础技术 静态分析基础技术包括检查可执行文件但不查看具体指令的一些技术.静态分析基础技术可以确认一个文件是否是恶意的,提供有关其功能的信息,有时还会提供一些信息让你能够生成简单的网络特征码. 2).动态分析基础技术 动态分析基础技术涉及运行恶意代码并观察系统的行为,以移除感染,产生

20145239杜文超《网络对抗技术》- 恶意代码分析

20145239杜文超<网络对抗技术>- 恶意代码分析 实验后回答问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. (1)使用计划任务schtasks指令动态监控系统运行 (2)使用sysmon工具动态监控系统运行 2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. (1)使用systracer工具进行快照分析注册表信息.文件行为等信息的变化 (2)把程序放在vir