2018-2019-2 网络对抗技术 20165227 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165227 Exp4 恶意代码分析
实验步骤:
- 使用的设备:Win7(虚拟机)、kali(虚拟机)
实验一:使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
1、在win7命令行中输入命令,创建任务计划
2、创建文本文档,另存为脚本“netstat5227.bat”,再拖入C盘中
date /t >> c:\netstat5227.txt
time /t >> c:\netstat5227.txt
netstat -bn >> c:\netstat5227.txt
3、打开“任务计划程序”,找到刚刚创建的进程任务,双击进行设置
(PS:需要在常规页面里开启以最高权限执行
否则会出现不能运行的情况)
4、过了第一个五分钟后,txt中就会有更新的内容
5、将txt文件导入excel进行统计分析
实验二:安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为
1、创建sysmon5227.txt
作为配置文件
<Sysmon schemaversion="4.20"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><ProcessCreate onmatch="exclude"> <Image condition="end with">chrome.exe</Image> </ProcessCreate><FileCreateTime onmatch="exclude" ><Image condition="end with">chrome.exe</Image></FileCreateTime><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp></NetworkConnect><NetworkConnect onmatch="include"> <DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> </NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread></EventFiltering>
</Sysmon>
2、进入sysmon
解压的路径执行sysmon.exe -i C:\sysmon\sysmon5227.txt
进行安装
3、进入事件查看器
4、进入kali,打开msfconsole,win7运行后门进行回连
5、查询到进程号
6、在事件查看器里以进程号查找关键字
实验三:使用各种软件进行恶意软件分析
1、使用VirusTotal分析恶意软件
- 在其中能得到SHA-1、MD5摘要值、文件类型、大小、TRiD文件类型识别结果和算法库支持情况
2、使用Process Monitor分析恶意软件
得到进程号
使用程序中的
filter
功能查找到进程
得到结果
3、使用Process Explorer分析恶意软件
- 运行后门,打开软件分析
4、使用PEiD分析恶意软件
打开软件,先分析未带壳的后门程序
再分析带壳的
5、使用systracer分析恶意软件
- 合理运用快照比对分析,能够分析恶意软件运行情况
保存了两个快照:Snapshot #1是运行后门前;Snapshot #2是运行后门后
通过compare发现注册表出现了改动
查看“opened handles”,进行对比
查看"open port",进行对比
实验问题
- 在创建
netstat5227.bat
时候,运行发现对应的txt文件没有更新 - 解决:在任务计划程序中的设置应该改为
以最高权限运行
,否则权限不够不能运行
实验感想
- 这次的实验目的是分析恶意代码,在实验过程中知道了许多分析软件,也是知道了杀毒软件干不了的活,分析软件能很好地完成,自己相当于多了一项技能,同时也对后门程序的运行状况有了更深的理解
转载于:https://www.cnblogs.com/zhuyue-study/p/10664305.html
2018-2019-2 网络对抗技术 20165227 Exp4 恶意代码分析相关推荐
- 2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析 一.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中生成后门软 ...
- 2018-2019-2 20165118 《网络对抗技术》Exp4 恶意代码分析
2018-2019-2 20165118 <网络对抗技术>Exp4 恶意代码分析 一.实验目标: 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就 ...
- 2018-2019-2 20165114《网络对抗技术》Exp4 恶意代码分析
Exp4 恶意代码分析 目录 一.实验目标 (1)监控你自己系统的运行状态,看有没有可疑的程序在运行. (2)分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sys ...
- 20165214 2018-2019-2 《网络对抗技术》Exp4 恶意代码分析 Week6
<网络对抗技术>Exp3 免杀原理与实践 Week5 一.实验目标与内容 1.实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp ...
- 2018-2019-2 20165330《网络对抗技术》Exp4 恶意代码分析
目录 基础问题 相关知识 实验目的 实验内容 实验步骤 实验过程中遇到的问题 实验总结与体会 实验目的 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中 ...
- 2018-2019-2 网络对抗技术 20165230 Exp4 恶意代码分析
目录 1.实验内容 2.实验过程 任务一:系统运行监控 每隔五分钟记录自己的电脑,并进行分析 安装配置sysinternals里的sysmon工具 任务二:恶意软件分析 静态分析工具 ViruScan ...
- 2018-2019-2 网络对抗技术 20165303 Exp4 恶意代码分析
实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systr ...
- 2018-2019-2 网络对抗技术 20165337 Exp4 恶意代码分析
1.实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,sys ...
- 2018-2019-2 20165313 《网络对抗技术》Exp4 恶意代码分析
一.实践目标 1.监控你自己系统的运行状态,看有没有可疑的程序在运行. 2.分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systrac ...
最新文章
- 【学习笔记】超简单的多项式开方
- mac 命令行 解压7z文件_Mac 有哪些好用的压缩软件?
- 【CodeForces - 485B】Valuable Resources (贪心,水题,几何相关)
- 对于python的感受_聊聊我对python的感受
- Kernel Livepatching示例
- 为啥国内程序员写的代码也用英文注释?
- cocos2dx之Http网络编程(一)——网络请求的发送和接收
- ARM-Linux 交叉编译工具链安装
- Photoshop CC 2021 软件安装教程
- adpcb 添加差分对_在AD中PCB设计常用规则——差分规则设置?
- Qt涂鸦板及其放大简例
- 古文物青铜器VR高清模型H5三维可视化在线展示
- bittorrent协议
- TApplicaiton.ProcessMessages不能在非主线程使用
- 《今日简史》2018比尔盖茨推荐(pdf, mobi, epub三种格式)
- 计算机凭证打印格式设置,打印凭证怎么设置纸张
- Vibrant Ink Theme for IntelliJ IDEA
- 动物叫声合集v1.0支持25种动物叫声模拟
- 如何解决网站文字禁止复制?插件:Enable Copy v1.15
- Three.js基本元素使用
热门文章
- C语言---初识递归///看了这么久的递归,终于会用了~~
- mysql一直出错_为什么我的mysql语句一直报错,找不到错误,望各位大佬指点一番...
- android异步编程,AsyncTask简单的异步编程android 中的实现
- BZOJ2176Strange string——最小表示法
- MongoDB固定集合(capped collection)
- [C#.NET通用权限管里系统组件]对资源权限、列表型、记录级权限、数据集权限的实现参考...
- 数据库设计中常见表结构的设计技巧(转)
- GLEW_ERROR_NO_GL_VERSION的解决方法
- MiniProfiler 兼容 Entity Framework 6
- apache虚拟主机名不区分大小写的解决办法