TCPView下载地址 https://docs.microsoft.com/zh-cn/sysinternals/downloads/tcpview…

Linux下发包处理: 1.用top分析工具来查看哪个进程占用的CPU资源比较大  2. 通过命令来查看都是那些端口被占用了   netstat -antp | more  3.在top里面查看到的异常进程  到 /proc 目录下 找到异常进程号  进到进程号的目录  执行 ls -l  看一下文件的路径 确定是不是系统文件 不是的话 就用kill -9 xx  或者是 killall  xx 杀死这个进程    4.    杀死后进程还继续跳出的话 删除文件 whereis xxx    …

Socket 死连接详解 当使用 Socket 进行通信时,由于各种不同的因素,都有可能导致死连接停留在服务器端,假如服务端需要处理的连接较多,就有可能造成服务器资源严重浪费,对此,本文将阐述其原理以及解决方法. 在写 Socket 进行通讯时,我们必须预料到各种可能发生的情况并对其进行处理,通常情况下,有以下两种情况可能造成死连接: 通讯程序编写不完善 网络/硬件故障 a) 通讯程序编写不完善 这里要指出的一点就是,绝大多数程序都是由于程序编写不完善所造成的死连接,即对 Socket 未能进行…

之前做项目的时候,调用api都是使用的HttpWebRequest 最近一个项目改用HttpClient,用了之后,感觉很坑. 1.高并发情况下,造成tcp连接占用的端口无法释放(时间为2MSL,此时tcp连接状态为TIME_WAIT) 造成这个的原因是,代码中HttpClient的实例,都是new了之后就dispose,用tcpview工具查看,会看到大量的TIME_WAIT状态的连接,不能及时释放,假设短时间内大量请求进来,那么很有可能,有大量的链接处于等待状态,极端点,造成服务器全部的端口…

实验内容: 一.使用schtacks进行系统运行监控,使用sysmon工具监控系统的具体进程,使用各种工具进行监控,并针对软件的启动回连,安装到目标机,以及其他的控制行为的分析,同时,对主机的注册表,文件改动,联网情况,数据传输情况进行捕获,分析 二.获得veil生成的后门的源代码,分析恶意代码运行的原理,以及代码的基本组成,分析代码的实现. 基础问题回答: (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来…

20145317<网络对抗>Exp4 恶意代码分析 一.基础问题回答 (1)总结一下监控一个系统通常需要监控什么.用什么来监控. 通常监控以下几项信息: 注册表信息的增删添改 系统上各类程序和文件的行为记录以及权限 实现网络连接的进程,使用的IP地址和端口号等 用以下软件工具来监控: TCPview工具查看系统的TCP连接信息 wireshark进行抓包分析,查看网络连接 sysmon用来监视和记录系统活动,并记录到windows事件日志,提供文件.进程等的详细信息 (2)如果在工作中怀疑一台…

20145208 蔡野 <网络对抗>Exp4 恶意代码分析 问题回答 总结一下监控一个系统通常需要监控什么.用什么来监控. 监控一个系统通常需要监控这个系统的注册表,进程,端口,服务还有文件. 使用一些软件读取系统的注册表,进程表等信息来实现实时监测他们的变动. 如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程.恶意代码相关文件. 重启计算机,并对计算机的注册表,进程,端口,服务等内容进行检测,并使用抓包软件进行抓包,通过观察注册表,进程等内容的变化筛选出可疑的对象,然后针…

2018-2019 网络对抗技术 20165226 Exp4:恶意代码分析 目录 一.实验内容说明及基础问题回答 二.实验过程 Task1 系统运行监控 结合windows计划任务与netstat命令 使用sysmon监视系统 Task2 恶意软件分析 在线检测--virustotal 动态分析1--使用TCPView工具 动态分析2--使用Process Explorer 动态分析3--使用Process Monitor 动态分析4--使用systracer 动态分析5--使用wireshar…

20145312<网络对抗>Exp4 恶意代码分析 问题回答 1.总结一下监控一个系统通常需要监控什么.用什么来监控. 监控一个系统通常需要监控这个系统的注册表,进程,开放端口,程序服务还有文件的添加和删除情况等. 使用一些软件比如本次实验用到sysmon.SysTracer v2.10等工具读取系统的注册表,进程表等信息来实现实时监测. 2.如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程.恶意代码相关文件. 先对当前情况快照,然后重启计算机,对计算机的注册表,进程,端口…

基础问题回答 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. 监控网络连接 监控是否创建新的进程 监控注册表项目 监控系统日志 (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息. PEID.ExeinfoPE等查壳工具内先查壳,通过入口特征和区段特征来识别,然后脱壳. TCPView.Wireshark等网络工具查看是否存在可疑连接 Systracer拍摄快照,比对前…