20155308《网络对抗》Exp4 恶意代码分析

其他 2018-04-17 12:50:21 阅读次数: 5

20155308《网络对抗》Exp4 恶意代码分析

实践说明

实践目标

  • 是监控你自己系统的运行状态,看有没有可疑的程序在运行。

  • 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。

  • 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

基础问题回答

  1. 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
  • 使用Windows自带的schtasks指令设置一个计划任务,指定每隔一定时间记录主机的联网记录或者是端口开放、注册表信息等等;
  • 通过sysmon工具,配置好想记录事件的文件,之后在事件查看器里找到相关日志文件便可以查看;
  • 使用Process Explorer工具,监视进程执行情况,查看是否有程序调用了异常的dll库之类的。
  1. 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
  • 使用Wireshark软件进行抓包分析,查看该程序联网时进行了哪些操作;
  • 使用systracer工具分析某个程序执行前后,计算机注册表、文件、端口的一些变化情况。

实践过程

使用schtasks指令监控系统

  • 先在C盘目录下建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstatlog.txt文件中,netstatlog.bat内容为:

    date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

    (可先创建txt文本文件,使用记事本写入后通过修改文件名来修改文件格式)

  • 使用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"命令创建计划任务netstatlog

  • 打开任务计划程序,可以看到我们新创建的这个任务

  • 双击这个任务,点击操作并编辑,将“程序或脚本”改为我们创建的netstatlog.bat批处理文件

  • 运行之后出现这个问题:

  • 原因是我的权限不够高。解决方法是:将“使用最高权限运行”打上勾。

  • 等几分钟后在“netstatlog.txt”文件中有联网记录

使用sysmon工具监控系统

  • sysmon微软Sysinternals套件中的一个工具,可以从码云项目的附件里进行下载,要使sysmon
    工具先要配置文件,我直接用的是老师给的配置文件

  • 创建配置文件Sysmon20155308.xml。

  • 使用Sysmon.exe -i C:\Sysmon20155308.xml安装sysmon。

  • 对配置文件进行修改,将自己感兴趣的过滤器事件和过滤器事件的选项写入。
<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>
  • 使用Sysmon.exe -c C:\Sysmon20155308.xml,将sysmon按照修改好的配置文件进行更新。

  • 启动之后,便可以到事件查看器里查看相应的日志


这个是我进行360安装所创建的。

我没做完没做完没做完没做完,我电脑要崩了,先把做的发一下。。。

猜你喜欢

转载自www.cnblogs.com/JIUSHA/p/8863435.html
今日推荐
周排行
成为C++高手之宏与枚举
在CAD二次开发中使用进度条
Js插件ECharts,HighCharts学习网址整理
Celery提交任务出错(on windows.)
cephfs内核客户端性能追踪
thinkphp中PHPExcel用法
EntityFramework动态组合多排序字段
汇编语言(八)实验9 根据材料编程
安装ubuntu后必须做的事情(对我而言)
JS函数式编程
每日归档
更多
2024-10-22(0)
2024-10-21(0)
2024-10-20(0)
2024-10-19(0)
2024-10-18(0)
2024-10-17(0)
2024-10-16(0)
2024-10-15(0)
2024-10-14(0)
2024-10-13(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022