zoukankan      html  css  js  c++  java
  • 恶意代码分析实战-行为监控

    进程监视器

    ProcessMonitor是Windows系统下的高级监视工具,提供一种方式来监控注册表、文件系统、网络、进程和线程行为。

    通过Filter-Filter打开过滤菜单,过滤文件行为

    查找PID、针对某些特定的函数过滤,比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。

    进程浏览器

    Process Explorer(进程浏览器)监视系统上执行的进程,以树状结构进行显示。

    • 查看进程中的DLL
    • 验证签名
    • 比较进程的字符串(内存、文件),判断有没有被内存注入
    • Find DLL功能:在磁盘上尝试发现一个恶意的DLL,并且想知道是否有运行进程使用了这个DLL,就可以进行查找。

    网络监控-ApateDNS

    ApateDNS可以对用户指定的IP地址给出虚假的DNS响应,用你指定的IP地址去响应DNS查询请求。

    监听某个端口-NetCat

    通过ApateDNS把恶意代码请求的C2网址查询请求重定向到本机,可以在执行恶意代码前,用NetCat监听连接。

    监听80端口请求:

    netcat -l -p 80
    

    Wireshark数据包监听

    嗅探恶意代码通信数据包

    使用INetSim

    基于Linux模拟常见网络服务的免费软件,通过模拟服务(HTTP、HTTPS、FTP、IRC、DNS、SMTP等),分析未知恶意代码的网络行为。

  • 相关阅读:
    特殊字符,如Emoji表情Base64存储到数据库
    判断文本文件的编码
    很多.net 程序员不知道又非常重要的 .net高级调试技巧.调试别人的dll方法内的变量
    没想到你是这样的Linux
    PDF转成txt
    生成云图
    Data collection (imaging)
    Python Conda 软件包升级
    电镜作业2的脚本版本
    电镜作业2
  • 原文地址:https://www.cnblogs.com/17bdw/p/10257153.html
Copyright © 2011-2022 走看看