2018-2019-2 网络对抗技术 20165227 Exp4 恶意代码分析

实验步骤:

  • 使用的设备:Win7(虚拟机)、kali(虚拟机)

实验一:使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

1、在win7命令行中输入命令,创建任务计划

2、创建文本文档,另存为脚本“netstat5227.bat”,再拖入C盘中

date /t >> c:\netstat5227.txt
time /t >> c:\netstat5227.txt
netstat -bn >> c:\netstat5227.txt

3、打开“任务计划程序”,找到刚刚创建的进程任务,双击进行设置

(PS:需要在常规页面里开启以最高权限执行 否则会出现不能运行的情况)

4、过了第一个五分钟后,txt中就会有更新的内容

5、将txt文件导入excel进行统计分析

实验二:安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为

1、创建sysmon5227.txt 作为配置文件

<Sysmon schemaversion="4.20"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><ProcessCreate onmatch="exclude">     <Image condition="end with">chrome.exe</Image> </ProcessCreate><FileCreateTime onmatch="exclude" ><Image condition="end with">chrome.exe</Image></FileCreateTime><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp></NetworkConnect><NetworkConnect onmatch="include">     <DestinationPort condition="is">80</DestinationPort>      <DestinationPort condition="is">443</DestinationPort>    </NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread></EventFiltering>
</Sysmon>

2、进入sysmon 解压的路径执行sysmon.exe -i C:\sysmon\sysmon5227.txt 进行安装

3、进入事件查看器

4、进入kali,打开msfconsole,win7运行后门进行回连

5、查询到进程号

6、在事件查看器里以进程号查找关键字

实验三:使用各种软件进行恶意软件分析

1、使用VirusTotal分析恶意软件

  • 在其中能得到SHA-1、MD5摘要值、文件类型、大小、TRiD文件类型识别结果和算法库支持情况

2、使用Process Monitor分析恶意软件

  • 得到进程号

  • 使用程序中的filter 功能查找到进程

  • 得到结果

3、使用Process Explorer分析恶意软件

  • 运行后门,打开软件分析

4、使用PEiD分析恶意软件

  • 打开软件,先分析未带壳的后门程序

  • 再分析带壳的

5、使用systracer分析恶意软件

  • 合理运用快照比对分析,能够分析恶意软件运行情况

  • 保存了两个快照:Snapshot #1是运行后门前;Snapshot #2是运行后门后

  • 通过compare发现注册表出现了改动

  • 查看“opened handles”,进行对比

  • 查看"open port",进行对比

实验问题

  • 在创建netstat5227.bat 时候,运行发现对应的txt文件没有更新
  • 解决:在任务计划程序中的设置应该改为以最高权限运行 ,否则权限不够不能运行

实验感想

  • 这次的实验目的是分析恶意代码,在实验过程中知道了许多分析软件,也是知道了杀毒软件干不了的活,分析软件能很好地完成,自己相当于多了一项技能,同时也对后门程序的运行状况有了更深的理解

转载于:https://www.cnblogs.com/zhuyue-study/p/10664305.html

2018-2019-2 网络对抗技术 20165227 Exp4 恶意代码分析相关推荐

  1. 2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析

    2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析 一.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中生成后门软 ...

  2. 2018-2019-2 20165118 《网络对抗技术》Exp4 恶意代码分析

    2018-2019-2 20165118 <网络对抗技术>Exp4 恶意代码分析 一.实验目标: 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就 ...

  3. 2018-2019-2 20165114《网络对抗技术》Exp4 恶意代码分析

    Exp4 恶意代码分析 目录 一.实验目标 (1)监控你自己系统的运行状态,看有没有可疑的程序在运行. (2)分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sys ...

  4. 20165214 2018-2019-2 《网络对抗技术》Exp4 恶意代码分析 Week6

    <网络对抗技术>Exp3 免杀原理与实践 Week5 一.实验目标与内容 1.实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp ...

  5. 2018-2019-2 20165330《网络对抗技术》Exp4 恶意代码分析

    目录 基础问题 相关知识 实验目的 实验内容 实验步骤 实验过程中遇到的问题 实验总结与体会 实验目的 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中 ...

  6. 2018-2019-2 网络对抗技术 20165230 Exp4 恶意代码分析

    目录 1.实验内容 2.实验过程 任务一:系统运行监控 每隔五分钟记录自己的电脑,并进行分析 安装配置sysinternals里的sysmon工具 任务二:恶意软件分析 静态分析工具 ViruScan ...

  7. 2018-2019-2 网络对抗技术 20165303 Exp4 恶意代码分析

    实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systr ...

  8. 2018-2019-2 网络对抗技术 20165337 Exp4 恶意代码分析

    1.实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,sys ...

  9. 2018-2019-2 20165313 《网络对抗技术》Exp4 恶意代码分析

    一.实践目标 1.监控你自己系统的运行状态,看有没有可疑的程序在运行. 2.分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systrac ...

最新文章

  1. 【学习笔记】超简单的多项式开方
  2. mac 命令行 解压7z文件_Mac 有哪些好用的压缩软件?
  3. 【CodeForces - 485B】Valuable Resources (贪心,水题,几何相关)
  4. 对于python的感受_聊聊我对python的感受
  5. Kernel Livepatching示例
  6. 为啥国内程序员写的代码也用英文注释?
  7. cocos2dx之Http网络编程(一)——网络请求的发送和接收
  8. ARM-Linux 交叉编译工具链安装
  9. Photoshop CC 2021 软件安装教程
  10. adpcb 添加差分对_在AD中PCB设计常用规则——差分规则设置?
  11. Qt涂鸦板及其放大简例
  12. 古文物青铜器VR高清模型H5三维可视化在线展示
  13. bittorrent协议
  14. TApplicaiton.ProcessMessages不能在非主线程使用
  15. 《今日简史》2018比尔盖茨推荐(pdf, mobi, epub三种格式)
  16. 计算机凭证打印格式设置,打印凭证怎么设置纸张
  17. Vibrant Ink Theme for IntelliJ IDEA
  18. 动物叫声合集v1.0支持25种动物叫声模拟
  19. 如何解决网站文字禁止复制?插件:Enable Copy v1.15
  20. Three.js基本元素使用

热门文章

  1. C语言---初识递归///看了这么久的递归,终于会用了~~
  2. mysql一直出错_为什么我的mysql语句一直报错,找不到错误,望各位大佬指点一番...
  3. android异步编程,AsyncTask简单的异步编程android 中的实现
  4. BZOJ2176Strange string——最小表示法
  5. MongoDB固定集合(capped collection)
  6. [C#.NET通用权限管里系统组件]对资源权限、列表型、记录级权限、数据集权限的实现参考...
  7. 数据库设计中常见表结构的设计技巧(转)
  8. GLEW_ERROR_NO_GL_VERSION的解决方法
  9. MiniProfiler 兼容 Entity Framework 6
  10. apache虚拟主机名不区分大小写的解决办法