zoukankan      html  css  js  c++  java
  • 20145322 《网络攻防》恶意代码分析

    20145322 《网络攻防》恶意代码分析

    一、基础问题回答

    1.总结一下监控一个系统通常需要监控什么、用什么来监控。

    通常监控以下几项信息:

    系统上各类程序和文件的行为记录以及权限

    注册表信息的增删添改

    监控软件:

    TCPview工具查看系统的TCP连接信息

    wireshark进行抓包分析

    sysmon用来监视和记录系统活动

    2.如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程、恶意代码相关文件。

    使用tcpview工具检测有哪些程序在进行网络连接

    使用PE解析软件查看可疑进程的详细信息,查看其是否加壳,分析调用的DLL及其函数用途

    去专业网站扫描可疑进程,查看测评分数也可分析文件行为

    使用抓包软件分析进程网络连接传输的数据

    使用Dependency Walker来分析是否有关于注册表的异常行为等。

    二、实践过程记录

    1.恶意代码的静态分析

    在专业网站进行测试:

    分析文件行为:

    结果有建立到一个指定套接字连接的行为、自行删除注册表键和值的行为以及检测自身是否被调试的行为。

    2.使用PE解析软件查看可疑进程的详细信息

    通过“导入表(Import)”,查看这个程序都调用了哪些dll文件:

    ADVAPI32.dll:调用这个dll可以实现对注册表的操控,

    WSOCK32.dll和WS2_32.dll:用于创建套接字,即会发生网络连接。

    使用PEID

    Nothing found 说明没加壳,不识别该编译器。

    此时可以查看反汇编之后的代码:

    使用Dependency Walker

    从上图可知,通过查看DLL文件的函数,该可执行文件会删除注册表键和注册表键值。

    TCPview工具

    通过查看每个进程的联网通信状态,初步判断其行为。

    SysTracer工具

    打开攻击机msfconsle,开放监听;win7下对注册表、文件、应用情况进行快照,保存为Snapshot #1

    win7下打开木马test.exe,回连kali,win7下再次快照,保存为Snapshot #2

    kali中通过msf发送文件给win7靶机,win7下再次快照,保存为Snapshot #4

    kali中对win7靶机进行屏幕截图,win7下再次快照,保存为Snapshot #3

    通过“compare”操作来比较每次快照文件的区别。

    对比Snapshot #1和Snapshot #2,可以看到注册表里面出现了新的端口。

    对比Snapshot #2和Snapshot #3 安装到目标机时,文件内容监控发现多了个文件。

    对比Snapshot #4和Snapshot #3。可以发现启动回连时注册表发生变化了,截屏时注册表也发生了变化。

    netstat命令设置计划任务

    在D盘中创建一个netstat5322.bat文件

    在TXT中写:

    date /t >> d: etstat5322.txt

    time /t >> d: etstat5322.txt

    netstat -bn >> d: etstat5322.txt

    新建一个触发器:

    操作选项栏的启动程序设为我们的netstat5322.bat,参数为>>d: etstat5322.txt。

    运行任务,发现d盘下出现netstat5322.txt文件,但是没有显示出我们想要的网络连接记录信息,而是显示了“请求的操作需要提升”,用管理员权限运行即可。

  • 相关阅读:
    json解析json字符串时候,数组必须对应jsonObjectArray,不能对应JsonObject。否则会解析错误。
    下载Tomcat时Tomcat网站上的core和deployer的区别
    maven中GroupID 和ArtifactID怎么写
    推送知识点3
    推送知识点2
    推送知识点注意事项
    spring mvc超强的json支持,你自己根本不需要额外的配置。spring mvc都给你配置好了!!!
    数据库中的父表和子表相当于代码中的父类和子类继承
    有两个地方,用到了javabean对象和属性字符串值之间的转换
    web接入层 传入参数的格式化及web返回值传出数据的参数格式化,都要统一
  • 原文地址:https://www.cnblogs.com/HZW20145322/p/6672283.html
Copyright © 2011-2022 走看看