Exp4 恶意代码分析 20155223

Exp4 恶意代码分析 20155223

使用原生命令schtasks监视系统运行

  • 在系统盘目录下建立脚本文件netstatlog.bat,包含以下命令:

    date /t >> c:\netstatlog.txt
    time /t >> c:\netstatlog.txt
    netstat -bn >> c:\netstatlog.txt
  • 在netstatlog.bat同一目录下建立空文本文件netstatlog.txt,用来接收系统运行信息。
  • 进入Windows系统下的计划任务程序,新建立一个任务,刚才的脚本文件为操作,给予该任务 最高权限。

  • 运行计划任务。
  • 运行一个小时之后,删除该计划任务,查看netstatlog.txt。

我似乎不应该在计划任务运行时开这么多的网页。

学习使用Sysmon

  • 下载最新版本的Sysmon并安装。
  • 在Sysmon.exe同目录下建立文件test.txt,文件内容包括以下XML:

    ```

- 使用命令行Sysmon.exe -i test.txt安装,使用命令行Sysmon.exe -c test.txt```配置。

  • 使用win+R,输入 eventvwr 打开事件查看器。
  • 事件1(进程创建):

  • 事件2(事件更改):

  • 事件3(连接记录):

玩玩TCPView

TCPView可以监控当前系统所有进程的状态,后门进程在TCPView之下难以隐藏。

我忘记关Sysmon了!

抓包分析

  • 启动Wireshark。
  • 按照前两次实验在虚拟机Kali启动监听。

  • 搜索攻击机的IP:192.168.129.133以寻找后门开启的数据包.

这一部分我很好奇,明明后门已经连接好了,怎么会还有那么多的“三次握手”过程?

我可以肯定的是,那一段时间我已经是在通过后门查看本机的文件了。那么有没有可能是后门正在使用TCP“三次握手”的特点来传输数据给攻击机?有意思,伪装得挺好。

systracer工具

  • 下载。这工具在网上一百度就可以得到。
  • 启动。
  • 建立三个快照,每个快照都只扫描C盘。
  • 第一个快照只是扫描C盘的正常运转情况。
  • 第二个快照是C盘后门已开启(并没有使用后门)的情况。
  • 第三个快照是C盘后门以开启并被使用的情况。
  • 对比结果:

没看到多少实质性信息。

PEiD工具

PEiD工具可以用来检测是否存在加壳程序。

未加壳的后门:

已加壳的后门:

连加壳用的程序版本都可以看到。

实验后问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

首先用systracer进行广泛的监视,当发现可疑进程后,再调用sysmon更详细的监控。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

原生命令stchtasks、wireshark、TCPView可以监视可疑进程,并可以获取可疑进程的网络连接信息、对其他进程的影响、可疑进程的运行信息。

感想

说是恶意代码分析,实际上并不是对恶意代码本体的分析,而是对其行为的分析。要想真的找到并消灭恶意代码,只靠观察其特征码还不够。只观察特征码容易引起误伤,当然只看代码行为也会引起误伤。都看,误伤率就大大降低。

不过,我还是认为引入人工智障智能来监视可疑进程会更好。

原文地址:https://www.cnblogs.com/battlefieldheros/p/8831072.html

时间: 2024-10-31 18:37:08

Exp4 恶意代码分析 20155223的相关文章

20145225唐振远《网络对抗》Exp4 恶意代码分析

20145225唐振远<网络对抗>Exp4 恶意代码分析 基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 使用Windows自带的schtasks指令设置一个计划任务,指定每隔一定时间记录主机的联网记录或者是端口开放.注册表信息等等: 通过sysmon工具,配置好想记录事件的文件,之后在事件查看器里找到相关日志文件便可以查看: 使用Process Explorer工具,监视进程执行情况,查

2015306 白皎 《网络攻防》Exp4 恶意代码分析

2015306 白皎 <网络攻防>Exp4 恶意代码分析 netstat [Mac.Linux.Win] sysinteral [MS]:1 2 3 一.系统监控--Windows计划任务schtasks 1.创建计划任务,使系统每5分钟自动检测到哪些有哪些程序在连接我们的网络. 注:任务将创建于当前登录的用户名文件夹下. C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\

20155317《网络对抗》Exp4 恶意代码分析

20155317<网络对抗>Exp4 恶意代码分析 基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 我首先会选择看任务管理器,查看系统下有什么进程,都在干些什么,不懂得就去网上搜索相关关键词. 我会开启360安全卫士,利用360监控是否有恶意程序. 2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. 利用Process Explorer去分析进程在连接什么地址

20154322 杨钦涵 Exp4 恶意代码分析

Exp4 恶意代码分析 Exp4 恶意代码分析 一.基础问题回答 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. ①可以使用监控程序,帮助我们分析是否存在恶意代码 ②如第二个实验使用sysmon,监控几乎所有的重要操作,并可通过事件查看器中找到日志查看. (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. ①利用wireshark动态分析程序动向. ②PE explo

Exp4 恶意代码分析 20154328 常城

Exp4 恶意代码分析 一.实践内容 1. 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件,综述一下分析结果.目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不.如果想进一步分析的,可以有针对性的抓包. 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为. 2. 恶意软件分析 分析软件在启动回连时 分析软件安装到目标机时 分析软

20155339 Exp4 恶意代码分析

20155339 Exp4 恶意代码分析 实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 监控网络连接. 当某个系统进程出现多个时,重点监控. 监控注册表的变化. 监控未知的IP的异常频率的连接. 监控系统日志的变化. (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. 创建计划任务,跟踪该进程的网络连接. 使用Systracer拍摄系统的多个快照,并

Exp4 恶意代码分析

Exp4 恶意代码分析 一.基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. (1)我们可以使用一些工具帮助自己监测系统,可以实时监控电脑上的端口信息,如果受到怀疑的恶意代码启动的时候连接了一些看起来很可疑的端口,就可以进一步进行分析. (2)我们可以通过在windows下建立一个监测本机连接ip地址的任务计划程序,不定时的查看一下电脑都在什么时候连了网干了什么,如果在你觉得自己的电脑没有联网

20155209林虹宇Exp4 恶意代码分析

Exp4 恶意代码分析 系统运行监控 使用schtasks指令监控系统运行 新建一个txt文件,然后将txt文件另存为一个bat格式文件 在bat格式文件里输入以下信息 然后使用管理员权限打开cmd,输入schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat" 建立一个每两分钟记录计算机联网情况的任务,进入控制面板任务计划里查看一下. 查看一下txt文件里面的信息 安装配置sysinternals里的sy

20155334 《网络攻防》Exp4 恶意代码分析

<网络攻防>Exp4 恶意代码分析 一.实验问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 可以使用工具监测系统,之后进行下一步分析. 在windows下建立一个监测本机连接ip地址的任务计划程序. 通过sysmon监控重要操作,并找到日志查看. 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. PEiD工具,可以查看程序有没有被常用的加壳软件加壳. PE expl