一、实验过程

1、计划任务监控

在C盘根目录下建立一个netstatlog.bat文件（先把后缀设为txt，保存好内容后记得把后缀改为bat），内容如下：
date /t >> c:\netstatlog.txt（记录数据）
time /t >> c:\netstatlog.txt（记录时间）
netstat -bn >> c:\netstatlog.txt（记录连接）

用schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "c:\netstatlog.bat"指令创建一个任务，记录每隔一分钟计算机的联网情况。打开txt文本可以发现你系统中所有联网程序的连接情况。

现在看一下神奇的一分钟一次的检查，时间截图

2、sysmon工具监控

配置文件，使用老师提供的配置文件模板，简单修改。
把驱动器、ie（虽然都没用，但是跟后面的后们工具连接似乎有关联，后门程序通过ie进行连接？）、360se、排除在外。
把443、80（这两个端口是https和http的连接，基本就是所有的网络连接端口）、svhost（这是一个奇怪的进程，我专门百度，他说是微软宣称的系统程序，很重要不能删，很多进程基本都在经过这个？也是木马等伪装的一个途径）、winlogon（程序的登入登出）、powershell（没看懂这是干什么的，大概感觉是shellcode有关？）设置在内。

将sysmon拖到cmd，-i表示安装，后面加地址（创立的文本）

在"运行"窗口输入eventvwr命令（我是直接输的，这个命令在哪个目录输都可以的），打开应用程序和服务日志，根据Microsoft->Windows->Sysmon->Operational路径找到记录文件。

看了上面的图，感觉很有意思。后门软件lyx.exe运行之后，竟然有explore.exe在其中，而我百度了一下，发现这个是图形界面的软件，也就是你的桌面等可视化界面的形成软件。而很多病毒也会伪装成这个。但是感觉我的后门没那么厉害吧？为什么会跟explore勾结？有些费解。

3.systracer分析

首先下载，安装很简单虽然是英文版，之后捕获快照。
点击take snapshot来快照，建立4个快照，分别为：
snapshot#1 后门程序启动前，系统正常状态
snapshot#2 启动后门回连Linux
snapshot#3 Linux控制windows查询目录
snapshot#4 Linux控制windows在桌面创建一个路径

对比前，我们先看下他的规则

先对比下1，2两种情况：
我们看到了后门软件，打开端口中能看到后门程序回连的IP和端口号

对比3，4情况：

4、联网情况分析

再打开后门程序的时候运行wireshark,可以发现他们之间的连接。

5、PEiD分析

PEiD是一个常用的的查壳工具，可以分析后门程序是否加了壳，用上州实验的时候的UPX壳生成的lyx_jk.exe。(忘记截图了此处）

6、Process Monitor分析

打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化，运行一下后门程序lyx.exe，再刷新一下Process Monitor的界面，可以指定查找到lyx.exe。

用进程树也很容易找到运行的后门ly.exe

7、Process Explorer分析

打开Process Explorer，运行后门程序lyx.exe，在Process栏可以找到lyx.exe

双击后门程序lyx.exe那一行，点击不同的页标签可以查看不同的信息：
TCP/IP页签有程序的连接方式、回连IP、端口等信息。