1.实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

答:- 我会使用sysmon工具来进行监控,可以每天晚上查看一下监控到的信息,还可以利用筛选工具对数据进行分析,监控网络连接,是否创建新的进程,注册表项目以及系统日志。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

答:最简单的方法就是使用Virscan等网站进行扫描进行分析,复杂一点的话,可以自己使用wireshark抓包然后再对抓到的数据进行分析,还可以将数据制表找到规律。

2.实践内容(3.5分)

2.1系统运行监控(2分)

(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

  • 一个简单的实现

    每5分钟记录一下有哪些程序在连接网络。命令如下:
  1. C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

每1分钟记录一下有哪些程序在连接网络的命令如下,(修改数字即可):

  1. C:\schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
  • 批处理

    在C盘要目录下建一个文件c:\netstatlog.bat,内容如下:
  1. date /t >> c:\netstatlog.txt
  2. time /t >> c:\netstatlog.txt
  3. netstat -bn >> c:\netstatlog.txt

建“.bat”文件的方式如下:

  1. 1.先建一个名为netstatlog.txt文件
  2. 2.再在里面写上内容
  3. 3.将后缀名改为“.bat
  1. schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"

指令创建一个每隔两分钟记录计算机联网情况的任务:

结果如下:



分析: 由上图可以看出我运行的有VW虚拟机,有道云,WPS。

(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

先下载好sysmon,地址在这Sysmon v7.01

记录所有网络连接就可以简单写为 <NetworkConnect>*</NetworkConnect>,不写的不记录。

一般都是写成类似下面的规则,会过滤掉一些。exclude相当于白名单,不用记录。include相当于黑名单。一般人使用白名单更安全,凡是不了解都记录。

我的配置文件如下所示:

  1. <Sysmon schemaversion="4.00">
  2. <!-- Capture all hashes -->
  3. <HashAlgorithms>*</HashAlgorithms>
  4. <EventFiltering>
  5. <!-- Log all drivers except if the signature -->
  6. <!-- contains Microsoft or Windows -->
  7. <DriverLoad onmatch="exclude">
  8. <Signature condition="contains">microsoft</Signature>
  9. <Signature condition="contains">windows</Signature>
  10. </DriverLoad>
  11. <NetworkConnect onmatch="exclude">//监控白名单
  12. <Image condition="end with">vmware.exe</Image>
  13. <Image condition="end with">iexplorer.exe</Image>
  14. <Image condition="end with">WeChat.exe</Image>
  15. <SourcePort condition="is">137</SourcePort>
  16. <SourceIp condition="is">127.0.0.1</SourceIp>
  17. </NetworkConnect>
  18. <CreateRemoteThread onmatch="include">// 监控黑名单
  19. <TargetImage condition="end with">explorer.exe</TargetImage>
  20. <TargetImage condition="end with">svchost.exe</TargetImage>
  21. <TargetImage condition="end with">winlogon.exe</TargetImage>
  22. <SourceImage condition="end with">powershell.exe</SourceImage>
  23. </CreateRemoteThread>
  24. </EventFiltering>
  25. </Sysmon>

安装时我曾出现这个提示:



这是因为配置文件中没有修改版本号,要把“3.10”改成“4.00”,你也可以根据提示修改成你的版本号。

安装成功:

在"运行"窗口输入eventvwr命令(我是直接输的,这个命令在哪个目录输都可以的),打开应用程序和服务日志,根据Microsoft->Windows->Sysmon->Operational路径找到记录文件。

这个是我用cmd.exe 的显示

这个是我边在用有道云写博客显示的进程情况

SGPicFaceTool.exe是搜狗输入法的图片表情辅助工具。

参考:schtask与sysmon应用指导

实际日志的分析还需要发挥下自己的创造力,结合以前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理,这就得大家会什么用什么了。

2.2恶意软件分析(1.5分)

分析该软件在

(1)启动回连

我在自己的主机上启动了后门,然后回连到kali上:

然后我在Sysmon上查找了我的后门文件名,就找到了





这张图里我们可以看到payload启动了 explorer.exe,因为回连之后我在KALI中进行了一些操作。

explorer.exe是Windows 资源管理器,可以说是 Windows 图形界面外壳程序,它是一个有用的系统进程。



当时我们启动payload回连kali,在kali上对主机进行操作:

(2)安装到目标机

这是当我把一个后门程序安装到win7上监控到的信息,可以看到上面显示了我是由虚拟机安装到主机的文件夹中。

这是回连之后监控到的信息

(3)及其他任意操作时

我用wireshark捕获了我的某个后门程序回连时的数据。

这个是我的虚拟机IP和主机IP建立TCP连接抓的包

192.168.43.132是我KALI的ip

我们可以看到,在回连的后续连接中,基本上都是ACK响应包。

这里我们看,出现了一个没见过的可疑IP 79.161.57.119



我在网上查了一下:



竟然是挪威的ip,简直不明觉厉,然后觉得很有问题。



它还提示说这个应该是来自于数据中心,是真人的概率只有45%

至于NTP协议:

NTP是Network Time Protocol的缩写,又称为网络时间协议。是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,WAN上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击。

感觉可能没大事?

实验总结与体会

总之呢,之前的实验是教我们自己生成恶意代码,躲过杀软对电脑进行攻击。而这次的实验感觉是教我们维护自己的电脑,检测自己电脑的情况,保证它不被恶意代码攻击,保护它的安全,先是学习了解恶意代码,再是学会去发现和解决它。

网络对抗技术 2017-2018-2 20152515 Exp4 恶意代码分析的更多相关文章

  1. 20145226夏艺华 网络对抗技术EXP4 恶意代码分析

    20145226夏艺华 网络对抗技术EXP4 恶意代码分析(未完成版) 回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作 ...

  2. 2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析

    2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析 1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行. 分析一个恶意软件,就分析Exp2或Exp3中生成后门 ...

  3. 2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析

    2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析 实验内容(概要) 一.系统(联网)运行监控 1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,逐步排查并且 ...

  4. 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析

    - 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析 - 实验任务 1系统运行监控(2分) (1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP ...

  5. 2018-2019-2 网络对抗技术 20165317 Exp4 恶意代码分析

    2018-2019-2 网络对抗技术 20165317 Exp4 恶意代码分析 实验要求 1.系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间 ...

  6. 2018-2019-2 网络对抗技术 20165225 Exp4 恶意代码分析

    2018-2019-2 网络对抗技术 20165225 Exp4 恶意代码分析 实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp ...

  7. 2018-2019-2 网络对抗技术 20165336 Exp4 恶意代码分析

    2018-2019-2 网络对抗技术 20165336 Exp4 恶意代码分析 1.实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或E ...

  8. 2018-2019-2 20165236 《网络对抗技术》Exp4 恶意代码分析

    2018-2019-2 20165236 <网络对抗技术>Exp4 恶意代码分析 一.1.实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行; 1.2是分析一个恶意软件, ...

  9. 2018-2019-2 网络对抗技术 20165316 Exp4 恶意代码分析

    2018-2019-2 网络对抗技术 20165316 Exp4 恶意代码分析 一.原理与实践说明 1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行. 分析一个恶意软件,就分析Exp2 ...

随机推荐

  1. Fiddler抓包使用教程-会话图标

    转载请标明出处:http://blog.csdn.net/zhaoyanjun6/article/details/72933882 本文出自[赵彦军的博客] 使用fiddler抓包时,会看到左侧按照顺 ...

  2. Android Vsync 原理浅析

    Preface Android中,Client测量和计算布局,SurfaceFlienger(server)用来渲染绘制界面,client和server的是通过匿名共享内存(SharedClient) ...

  3. 解决 ModuleNotFoundError: No module named 'pip'

    安装其它python包时,提示说 pip 10.0.1可用,就更新了一下,但是 更新过程中出现了错误,如图所示 因为这个错误导致 pip找不到, 可以首先执行  python -m ensurepip ...

  4. python 复制文件到其他路径

    #!/usr/bin/env/python # -*- coding: utf-8 -*- # @Time : 2018/11/7 16:34 # @Author : ChenAdong # @Ema ...

  5. 适用于 Windows VM 的 Azure 示例基础结构演练

    本文是更广泛系列的一部分,当你在 Azure 中构建应用程序基础结构时,这些系列向你提供设计注意事项和准则. 用户可以查看系列中的其他主题. 尽管用户可以在 Azure 中快速地构建出开发/测试环境, ...

  6. NodeJS中MySql的增删改查操作

    纯粹记录一下最基础写法,几乎没有写什么逻辑,写法也并不是很完善(因为我自己也刚刚摸索出来这么写可以...= =!)    望高手指教   也希望能够帮到比我还新的新手.... //1.insert操作 ...

  7. js拼接table查询信息部分

    其一: $("#datagrid").empty(); var a=0; <order-rows> a++; $("#datagrid").appe ...

  8. 第7章 Linux文件与目录管理

    目录与路径 相对路径与绝对路径 目录的相关操作 . 代表此层目录 .. 代表上层目录 - 代表前一个工作目录 ~ 代表"目前用户身份"所在的文件夹 ~account 代表accou ...

  9. Linux磁盘空间占满问题快速定位

    1.df -h命令查看系统盘与各个磁盘的占用空间比率 [tidb@:vg_adn_tidbCkhsTest:172.31.30.62 /dev]$df -Th Filesystem Type Size ...

  10. MYSQL导入csv类型的数据出现The MySQL server is running with the --secure-file-priv option

    今天尝试使用 into outfile导出数据的时候出现错误: The MySQL server is running with the --secure-file-priv option so it ...