一·实验过程
1系统运行监控
创建一个netstatlog.bat文件,可以直接使用指令生成,也可以创建一个.txt文件,然后将后缀修改成.bat,文件内容如下
date /t >> c:\netstatlog.txt \\将数据记录在netstatlog.txt 中 time /t >> c:\netstatlog.txt \\将时间记录在netstatlog.txt 中 netstat -bn >> c:\netstatlog.txt \\将链接记录在netstatlog.txt 中
然后在计划任务中创建一个新的计划任务,触发器设置为5分钟触发一次,操作为打开上一步生成的批处理文件
然后运行该计划任务,每五分钟就会弹出一个命令提示符程序,这里使用了周4下午记录好的数据进行分析。
周四下午我有课,电脑空闲待机,后台联网程序依旧这么多······可以看到有谷歌浏览器,win10的后台应用,酷狗音乐,N卡驱动,搜狗,腾讯游戏和QQ,wps,尤其是wps,我中午出门时还特意用任务控制器强制关掉了他的进程,结果三千多个链接数中它就占了差不多三分之一,毒瘤程度令人发指。
再看外部链接
连接次数最多的IP地址是127.0.0.1,但我记得这是个本地地址,为什么外部地址里链接次数最多的反倒是个本地地址呢?我百度了一下才豁然开朗。
链接次数第二的是中国移动,第三的是上海电信,第五则是海淀区的百度。
2.Sysmon
下载好老师提供的软件后,编辑好配置文件,然后用指令进行更新。
安装完成后,打开本地服务可以看到sysmon已经在运行了
然后在Windows的事件查看器中找到sysmon,可以看到sysmon已经记录了很多连接信息了
随便打开一看就是wps···
然后使用上次实验的后台程序回连Kali,可以找到后门程序
然后在查找后门程序的过程里,有一个我很在意的就是有很多wps的事件记录,都是在链接互联网,111.13.100.91是中国移动的IP地址,因为我是用手机开热点进行的实验,不知道为什么WPS非要占用这么多资源,而且我并没有使用它···这软件真是太毒瘤了。
3.使用systracer分析
安装完systracer后,使用软件记录快照
1为后门开启前系统待机,2为后门程序启动回连后,3为输入ls指令执行,4为输入ipconfig指令
然后对比快照1和快照2