20145328 《网络对抗技术》恶意代码分析
20145328 《网络对抗技术》恶意代码分析
------看到这句话说明还没写完--------
实践内容:
- 使用schtasks指令监控系统运行
- 使用sysmon工具监控系统运行
- 使用virscan分析恶意软件
- 使用systracer工具分析恶意软件
- 使用wireshark分析恶意软件回连情况
- 使用Process Monitor分析恶意软件
- 使用Process Explorer分析恶意软件
- 使用PEiD分析恶意软件
基础问题回答
(1) 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 监控的方式还是挺多的,使用Win自带的Schtasks指令可以设置一个计划任务来记录主机的程序联网等情况
- 通过sysmon工具,配置自己想要记录的文件,然后通过事件查看器查看日志
(2) 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 使用Wireshark进行抓包分析,查看该程序联网时进行了哪些操作;
- 使用systracer工具分析某个程序执行前后,计算机注册表、文件、端口的一些变化情况。
- 使用Process Explorer工具,对可疑的程序进行分析,查看其从一些dll中调用的函数来猜测程序功能。
实验总结与体会
- 这次是开学到现在完成时间最长的实践,拖了这么长时间并不是因为实践内容有多难,而是因为本次实践内容基本上都是一些分析的东西,相对来说就枯燥很多了,特别是对着屏幕上一大堆数据的时候整个人都快疯了。但实际上静下心来慢慢梳理,还是比较简单的,因为数据相似性很高,把一些经常出现的重复项去掉,分析起来就方便了很多。但是还存在一个问题就是可能你分析了半天发现电脑里好像一切正常,但可能只是恰好电脑里的恶意软件没有搞事情而已,越说心越累
实践过程记录
使用schtasks指令监控系统运行
打开Windows下命令提示符,输入指令C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"指令创建一个每隔五分钟记录计算机联网情况的任务:
在C盘目录下建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstatlog.txt文件中,netstatlog.bat内容为:
再打开计划任务将其中每5分钟执行的指令从"cmd /c netstat -bn > c:\netstatlog.txt"替换为“c:\netstatlog.bat”,打开C:\netstatlog.txt:
时隔一天,netstatlog.txt文件已经达到两百多K了,里面的记录内容也是相当的长,图中可以看到记录内有显示我的浏览器正处于联网的状态
中间开启过一次上次实验所做的后门软件进行回连,但在该指令记录之前就已经关闭了,因此文档中并没有找到,说明也不能完全的就信任该指令对于系统运行的监控记录,有可能我的系统里面确实是存在恶意软件的,只是刚好在监控进行记录的时候它没有搞事情,这样一来就不会被记录在案了,解决方法只能是减小记录时间的间隔,但这样一来所带来的的问题就是需要分析的数据内容会随着记录时间间隔减小而增多
使用sysmon工具监控系统运行
sysmon微软Sysinternals套件中的一个工具,可以从码云项目的附件里进行下载,要使用sysmon工具先要配置文件,直接用的老师给的配置文件,这里虽然是复制粘贴就行了但还是要注意xml配置文件是大小写敏感的,在对配置进行修改的时候要注意:
配置好文件之后,要先使用Sysmon.exe -i C:\Sysmoncfg.xml指令对sysmon进行安装:
启动之后,便可以到事件查看器里查看相应的日志,比如这个事件是之前做计划任务时所创建的
例如下面的事件是在实践过程中截图时创建文件:
使用virscan分析恶意软件
- 在virscan网站上查看上次实验所做的后门软件的文件行为分析:
- 可以看到其启动回连主机的部分IP地址以及端口号,还有对注册表键值进行了删除:
- 还有反调试和创建事件对象的行为:
- 如图是计算机病毒课程中需要分析的示例软件中的dll文件在Virscan.org上的文件行为分析:
使用systracer工具分析恶意软件
使用wireshark分析恶意软件回连情况
使用Process Monitor分析恶意软件
使用Process Explorer分析恶意软件
使用PEiD分析恶意软件
- 使用PEiD软件可以查看恶意软件的壳的相关信息,以及其所使用的编译器版本,这里所查看的两个软件是计算机病毒课程中老师所给的示例软件,我们可以很直接的看见在图中是直接显示了软件所使用的编译语言,因此这两个软件是无壳的
转载于:https://www.cnblogs.com/rebrust/p/6653966.html
20145328 《网络对抗技术》恶意代码分析相关推荐
- 20145120黄玄曦《网络对抗》恶意代码分析
20145120黄玄曦<网络对抗>恶意代码分析 Windows计划任务schtasks 在命令提示符输入schtasks /create /TN netstat /sc MINUTE /M ...
- 20145217《网络对抗》 恶意代码分析
20145217<网络对抗> 免杀原理与实践 知识点学习总结 进行恶意代码分析之前必须具备以下知识:编程.汇编/反汇编.网络基本知识.PE文件结构以及一些常用行为分析软件. 一.在一个已经 ...
- 网络对抗 Exp4 恶意代码分析 20154311 王卓然
Exp4 恶意代码分析 一.实践目标 1.监控自己系统的运行状态,看有没有可疑的程序在运行. 2.分析一个恶意软件,分析Exp2或Exp3中生成后门软件. 二.实践步骤 1.系统运行监控 使用 net ...
- 20145201李子璇 《网络对抗》恶意代码分析
报告内容 1.实验后回答问题 (1)总结一下监控一个系统通常需要监控什么.用什么来监控. 注册表信息的增添修改删除. 用来进行网络连接的IP地址端口号. 程序的一系列行为 可以使用wireshark抓 ...
- 《网络攻防》 恶意代码分析
20145224陈颢文 <网络攻防>恶意代码分析 基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什 ...
- MS08067 第一期 “恶意代码分析”实战班 正式开班~
文章来源|MS08067安全实验室 恶意代码分析实战班 恶意代码分析的分类: 恶意代码分析也可作为单独的安全专业类别来看待,不过总体是偏逆向方向的,希望的受众是逆向相关的就行了,比如以前只会逆向但是不 ...
- 恶意代码分析实战Lab1
第一章静态分析基础技术 恶意代码分析实战 恶意代码样本下载 1.1反病毒引擎扫描 1.2哈希值 1.3查找字符串 1.4加壳与混淆恶意代码 1.5PE文件格式 1.6链接库与函数 1.7静态分析技术实 ...
- 2018-2019-2 网络对抗技术 20165324 Exp4:恶意代码分析
2018-2019-2 网络对抗技术 20165324 网络对抗技术 Exp4:恶意代码分析 课下实验: 实践目标 是监控你自己系统的运行状态,看有没有可疑的程序在运行. 是分析一个恶意软件,就分析E ...
- 2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析 一.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中生成后门软 ...
最新文章
- php dropdownlist,为何activitieDropdownlist的值始终无法获取到
- node.js与python
- 《时间简史》(评论一)(转载)
- 在24小时内学完所有的数学是种什么体验?我们做了这个大胆的尝试……
- CentOS7上GitLab的使用
- 大数据数据收集数据困难_工厂质量成本数据收集流程、方案
- QT QListView
- 当我们放弃时,我们想些什么
- 驾照考试之科目三(深圳东周版)
- 树莓派4B搭建NAS系统(Samba)
- vue打包时页面布局出现混乱
- aspose给word添加水印
- 【单调队列】51nod 1275 连续子段的差异
- 阿里云虚拟主机项目根目录指向public目录下
- Jquery.city-picker 实现省市区三级联动
- 大腿上的妊娠纹怎么消除?
- Ajax --- 获取服务器端的响应
- 连接mysql的url是什么意思_URL是什么意思?
- 假如生活欺骗了你,js for in 遍历对象的Key
- 2.6 人工智能组件