20145307陈俊达《网络对抗》Exp4 恶意代码分析
20145307陈俊达《网络对抗》Exp4 恶意代码分析
基础问题回答
如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
使用schtasks指令设置一个计划任务,指定每隔一定时间记录主机的联网记录或者是端口开放、注册表信息来分析有没有可以的相关记录
通过sysmon工具,配置好记录事件的文件,之后在事件查看器里找到相关日志文件查看;
使用Process Explorer工具,监视进程执行情况,查看是否有程序调用了异常的dll库之类的。
总之就是用各种工具各种手段来监视dll动态库 ip开放端口 注册列表 pid进程之类的敏感接口来操作监视
如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
Wireshark进行抓包分析,查看该程序联网时进行了哪些操作 收发了那些数据包
systracer工具分析某个程序执行前后,拍下snapshot快照分析计算机注册表、文件、端口的变化
用peid来分析可执行文件的构造 编码 运行 debug方式等等
使用schtasks指令监控系统运行
先在C盘目录下建立一个netstatlog.bat文件,之后修改后缀名,使它成为一个批处理文件.dat,用来将记录的联网结果格式化输出到netstatlog.txt文件中,netstatlog.bat内容为:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
用leafpad键入也行,用terminal键入也行
打开Windows下命令提示符,输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务:
之后查看一下netstatlog.txt
可以发现很多程序联网,比如迅雷thunder.exe
使用sysmon工具监控系统运行
sysmon微软Sysinternals套件中的一个工具,安装需要配置文件,按照git上的代码进行配就行 之后执行安装
之后打开事件管理器,分析一波
来先搞一个分析一波
一看这是vmware带的服务程序 apr 3th运行的,具体是啥讲道理vmware带的那一堆服务我也不清楚啊,但是还是这种虚拟化程序还是挺神奇的。你看最后一行有个啥1366 768 那是我电脑的分辨率规格 估计这个东西跟输出显示有关吧 我猜的
web网站分析
这是我们之前创建的程序,搞到网上test一下。
可以看到 文件类型exe可执行文件 版本2.2 外壳信息 连接的ip,第三位是199,网站把ip打了马赛克 看他是啥行为 哇 这人居然要删除我的注册列表 这就过分了啊 显然是恶意软件无疑嘻嘻 这个web分析还是挺厉害的嘛
使用systracer工具分析恶意软件
注意 这个软件没购买 它的快照次数 和能保存的快照都有限,别搞事 安装了赶紧使用快照,不然你的次数用完就完蛋了
就一个没恶意代码 一个有代码 一个运行exploit之后 一个kali主机dir命令下传后 对快照进行compare比对问题 他甚至可以输出为pdf文件 你可以试一下export导出 慢慢分析
使用Process Explorer分析恶意软件
使用Process Explorer对恶意软件进行分析时可以看到启动回连时在运行的后门程序:
后门程序还是那个hackit.exe 可以观察到在cmd下他在运行
双击打开详情 可以看到它的远程ip 是我的kali的ip
这很恐怖居然暴露了我的kali主机ip 恐怖恐怖
使用Process Monitor分析恶意软件
使用Process Monitor对恶意软件进行分析时可以看到很多Explorer.exe进程
可我没事闲的开那么多ie窗口干嘛 这显然是恶意软件的伪装 伪装成了ie.exe
使用PEiD分析恶意软件
使用PEiD软件可以查看恶意软件的壳的相关信息,以及其所使用的编译器版本:
心得
这次实验主要是分析 要搞的代码之前就可以了 主要是分析
自己的电脑要真出问题你要学会分析 用什么分析呢 分析哪些软件呢 出问题后和出问题前 有什么不同啊 你看 我们就能用一个快照来解决 甚至可以比对文件 不用我们自己慢慢的找了 学了这么多还是要学会应用 不要你还是啥都没学会 学习怎么去解决问题 这才是最刺激的 最有用的 20145307继续努力
20145307陈俊达《网络对抗》Exp4 恶意代码分析的更多相关文章
- 2018-2019 20165237网络对抗 Exp4 恶意代码分析
2018-2019 20165237网络对抗 Exp4 恶意代码分析 实验目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后 ...
- 2018-2019 20165235 网络对抗 Exp4 恶意代码分析
2018-2019 20165235 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件 ...
- 2018-2019 20165319 网络对抗 Exp4 恶意代码分析
基础问题回答 1. 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控 答:1.使用Windows自带的schta ...
- 2018-2019-2 《网络对抗技术》Exp4 恶意代码分析 Week6 20165311
2018-2019 20165311 网络对抗 Exp4 恶意代码分析 2018-2019 20165311 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控(2分) 恶意软件分析(1.5分) ...
- 20155207 《网络对抗》exp4 恶意代码分析 学习总结
20155207 <网络对抗> 恶意代码分析 学习总结 实践目标 1.是监控你自己系统的运行状态,看有没有可疑的程序在运行. 2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件 ...
- 20155207王雪纯《网络对抗》Exp4 恶意代码分析
20155207 <网络对抗> 恶意代码分析 学习总结 实践目标 1.是监控你自己系统的运行状态,看有没有可疑的程序在运行. 2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件 ...
- 20155338《网络对抗》 Exp4 恶意代码分析
20155338<网络对抗>恶意代码分析 实验过程 1.计划任务监控 在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如 ...
- 2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析 1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行. 分析一个恶意软件,就分析Exp2或Exp3中生成后门 ...
- 2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析
2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析 实验内容(概要) 一.系统(联网)运行监控 1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,逐步排查并且 ...
随机推荐
- 宏(define)与常量(const)
http://mp.weixin.qq.com/s?__biz=MzAxMzE2Mjc2Ng==&mid=402470669&idx=1&sn=e34db91190d8d46f ...
- poj_2352 线段树
题目大意 对于二维平面上的n个点,给出点的坐标.定义一个点A覆盖的点的个数为满足以下条件的点B的个数:点B的x <= 点A的x坐标,点B的y坐标 <= 点A的y坐标. 给出N个点的 ...
- MQTT的学习研究(十)【转】mosquitto——一个开源的mqtt代理
MQTT(MQ Telemetry Transport),消息队列遥测传输协议,轻量级的发布/订阅协议,适用于一些条件比较苛刻的环境,进行低带宽.不可靠或间歇性的通信.值得一提的是mqtt提供三种不同 ...
- nodejs 环境搭建
一 下载nodejs 官网:http://nodejs.cn/ 有时官网有点慢,可以去其他地方下载 统一下载站:http://www.3987.com/xiazai/2/43/57188.html 二 ...
- 在ScrollView嵌套GridView,使GridView不滚动
<ScrollView> …… <LinearLayout> </LinearLayout> ……</ScrollView> ...
- CentOS7使用yum安装LNMP环境以后无法打开php页面
CentOS7使用yum安装LNMP环境以后无法打开php页面 页面提示为File not found 查看nginx错误日志/var/log/nginx/error.log提示如下 原因分析 ngi ...
- Python爬虫基础(四)Requests库的使用
requests文档 首先需要安装:pip install requests get请求 最基本的get: # -*- coding: utf-8 -*-import requests respons ...
- supervisord部署
https://blog.csdn.net/vbaspdelphi/article/details/54091095https://blog.csdn.net/shudaqi2010/article/ ...
- 转!idea启动后发现tomcat前面出现红色或是灰色的问号
原博文地址:https://blog.csdn.net/z_zhy/article/details/83068168 直接在idea里 点击File------settings,在搜索框直接搜tomc ...
- qt——类大全
qt类总结地址 http://www.kuqin.com/qtdocument/ QWidget.QDialog及QMainWindow的区别 QWidget类是所有用户界面对象的基类. 窗口部件是用 ...