实验内容
schtasks、Sysmon对电脑进行系统检测,并分析。
对恶意软件进行静态分析,直接上传到网上,或者利用peid等软件。
对恶意软件进行动态分析,使用systracer,以及wireshark分析。
实验后回答问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。。
需要监控什么?
用window7自带的schtasks,或者下载Sysmon进行对电脑的监控
系统中各种程序、文件的行为
还需要注意是否会出现权限更改的行为
注册表
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
“VirScan”工具来扫描
TCPview查看系统中的使用TCP连接的进程,看是否有异常
Dependency Walker来分析是否有关于注册表的异常行为等。
systracer进行快照对比。
PEiD查看可疑软件是否加壳。
使用计划任务schtasks。
因为我是win8系统,所以系统是自带schtasks
使用命令C:schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:
etstatlog.txt"在c盘创建文件netstatlog.txt
-创建成功后再对.txt文件进行加工
date /t >> c:
etstatlog.txt、
time /t >> c:
etstatlog.txt、
netstat -bn >> c:
etstatlog.txt三个命令进行修改
利用VirSCAN分析
使用上次实验免杀用到的网站VirSCAN,扫描我上次实验的5334.exe文件
进行文件行为分析
对注册表键值进行了删除还有创建事件对象的行为
PE Explorer分析
下图可以看出头文件的指向操作信息
查看一下这个程序都调用了哪些dll文件
PEiD
PEiD是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳。 一般正常的软件是不会加壳的吧,而恶意代码为了伪装自己,其中一种常用方式就是加壳,通过加壳来达到不被杀软察觉的目的。
使用sysmon:
sysmon已启动,记得设置版本号为3.10
分析sysmon的日志
Dependency Walker
老师啊,本周实验的内容实在太多了,,哈哈,能不能这次给个五分!!谢谢啦!!