zoukankan      html  css  js  c++  java
  • Exp4 恶意代码分析

     

    20154331 Exp4 恶意代码分析

    实验内容:

    1、计划任务监控

        在windows下使用计划任务schtacks监控系统运行

    这里表示每5分钟监测一次系统运行情况,指令创建一个任务,记录每隔5分钟计算机的联网情况。

     创建一个批处理文件,右键编辑添加内容为如下:

     打开计划任务,运行20154331netstatlog:

      设置任务里的操作:

    然后电脑会闪一下,这就表示监测完成,并将记录放在之前弄的netstatlog.txt中。如下图:

     有时候监测的时候他会出现这个问题,那么就需要做如下一步:

           

     在属性里把使用最高权限勾上。

     

    还要将下面这个勾给叉掉,不然如果你电脑不插电的话就不能监测运行,很烦。

     我之前设置的每隔5分钟检测一次,如下例举了几个时间段:

     

    netstat命令是个监控TCP/IP网络的非常有用的工具,它可以显示路由表、世纪的网络连接以及每个网络接口设备的状态信息。

    我这里用了一些命令。我这里用了netstat -n,表示以数字形式显示地址和端口号,我在下面发现了我虚拟机的ip地址和端口。192.168.116.130 4331

    下面还有很多命令可以试一试:
    -a 显示所有连接和侦听端口。
    -b 显示在创建每个连接或侦听端口时涉及的可执行程序。在某些情况下,已知可执行程序承载多个独立的组件,这些情况下,显示创建连接或侦听端口时涉及的组件序列。在此情况下,可执行程序的名称位于底部 [] 中,它调用的组件位于顶部,直至达到 TCP/IP。注意,此选项可能很耗时并且在你没有足够权限时可能失败。
    -e 显示以太网统计信息。此选项可以与 -s 选项结合使用。
    -f 显示外部地址的完全限定域名(FQDN)。
    -n 以数字形式显示地址和端口号。
    -o 显示拥有的与每个连接关联的进程 ID。
    -p proto 显示 proto 指定的协议的连接;proto可以是下列任何一个: TCP、UDP、TCPv6 或 UDPv6。如果与 -s选项一起用来显示每个协议的统计信息,proto 可以是下列任何一个:IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。
    -q 显示所有连接、侦听端口和绑定的非侦听 TCP 端口。绑定的非侦听端口不一定与活动连接相关联。
    -r 显示路由表。
    -s 显示每个协议的统计信息。默认情况下,显示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的统计信息;
    -p 选项可用于指定默认的子网。
    -t 显示当前连接卸载状态。
    -x 显示 NetworkDirect 连接、侦听器和共享终结点。
    -y 显示所有连接的 TCP 连接模板。无法与其他选项结合使用。

    sysmon工具监控

    配置xml:

    使用sysmon -accepteula –i -n一键安装,再在在命令行下使用sysmon -c 1.xml命令可以对sysmon进行配置指定配置文件

    然后我们在事件查看器下可以查看日志信息,日志位置在 应用程序和服务日志/Microsoft/Windows/Sysmon/Operational下

    进程创建:

     文件创建时间以更改:

    网络连接检测:

     

    这个2345浏览器正在运行:

    本机ip就为172.30.1.85.

    VirusTotal

    使用systracer工具分析恶意软件

    首先下载systracer软件,

     

    这里Snapshot #1表示正常情况下我们快照保存;

           Snapshot #2表示我们将kali生成的后门文件托到主机后快照保存;

           Snapshot #3表示回连以后再抓屏后的快照保存。

    将#1与#2进行compare后发现在C盘增加了我刚才托过去的文件。

    表示kali尝试连接我的主机,并且成功。

    将#2与#3进行compare后发现有文件被修改。上面是old,下面是new.

     c盘里的表也发生了变动。

    Process Monitor分析


    我们先在网上下载Process Monitor,然后打开就能看到按时间排序的winxp执行的程序的变化。

     

    找到我们的后门程序4331veil.exe.

    Process Explorer分析

    和以前一样也在网上找到Process Explorer并且下载它,打开这个软件然后运行4331veil.exe后门程序,在Process栏可以找到4331veil.exe。

    双击后门程序4331veil.exe那一行,点击不同的页标签可以查看不同的信息:

    TCP/IP页签有程序的连接方式、回连IP、端口等信息。

    Performance页签有程序的CPU、I/O、Handles等相关信息。

    还有总的状态监控:

     基础问题回答:

    1、如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控?
    (1)可以使用监控程序,帮助我们分析是否存在恶意代码
    (2)如第二个实验使用sysmon,监控几乎所有的重要操作,并可通过事件查看器中找到日志查看。

    2、如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
    (1)利用wireshark动态分析程序动向。
    (2)PE explorer工具,它可以对程序调用库等信息进行分析查看。
    (3)利用systrace监控系统运行

    实验体会:

    这次的实验大多都是分析,有一种到处找东西的感觉,用了这么多软件来分析恶意代码,仿佛打开了新世界的大门,除了说网络真的是一个有趣又庞大而且还可怕的东西,真不知道怎么去形容他。还有很多软件等着我们去发掘,这样的监控感觉好强大。

  • 相关阅读:
    Hibernate整合Druid数据库连接池遇到的问题整合
    Spring 整合quartz 时 定时任务被调用两次以及quartz 的配置
    BigDecimal divide:Non-terminating decimal expansion; no exact representable decimal result.
    Hibernate: Encountered a duplicated sql alias [] during auto-discovery of a native-sql
    oracle与mysql的区别
    搜索评价指标——NDCG
    java 动态修改注解值
    eclipse 取消置顶
    Xiangqi
    All in All
  • 原文地址:https://www.cnblogs.com/20154331huangrui/p/8806427.html
Copyright © 2011-2022 走看看