zoukankan      html  css  js  c++  java
  • 20145334赵文豪《网络对抗技术》恶意代码分析

    实验内容

    schtasks、Sysmon对电脑进行系统检测,并分析。

    对恶意软件进行静态分析,直接上传到网上,或者利用peid等软件。

    对恶意软件进行动态分析,使用systracer,以及wireshark分析。

    实验后回答问题
    (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。。

    需要监控什么?

    用window7自带的schtasks,或者下载Sysmon进行对电脑的监控
    系统中各种程序、文件的行为
    还需要注意是否会出现权限更改的行为
    注册表

    (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

    “VirScan”工具来扫描
    TCPview查看系统中的使用TCP连接的进程,看是否有异常
    Dependency Walker来分析是否有关于注册表的异常行为等。
    systracer进行快照对比。
    PEiD查看可疑软件是否加壳。

    使用计划任务schtasks。

    因为我是win8系统,所以系统是自带schtasks

    使用命令C:schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c: etstatlog.txt"在c盘创建文件netstatlog.txt

    -创建成功后再对.txt文件进行加工
    date /t >> c: etstatlog.txt、
    time /t >> c: etstatlog.txt、
    netstat -bn >> c: etstatlog.txt三个命令进行修改




    利用VirSCAN分析

    使用上次实验免杀用到的网站VirSCAN,扫描我上次实验的5334.exe文件

    进行文件行为分析

    对注册表键值进行了删除还有创建事件对象的行为

    PE Explorer分析

    下图可以看出头文件的指向操作信息
    查看一下这个程序都调用了哪些dll文件

    PEiD

    PEiD是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳。 一般正常的软件是不会加壳的吧,而恶意代码为了伪装自己,其中一种常用方式就是加壳,通过加壳来达到不被杀软察觉的目的。

    使用sysmon:

    sysmon已启动,记得设置版本号为3.10

    分析sysmon的日志

    Dependency Walker

    老师啊,本周实验的内容实在太多了,,哈哈,能不能这次给个五分!!谢谢啦!!

  • 相关阅读:
    python基础:映射和集合类型
    python基础:列表生成式和生成器
    python基础:名称空间与作用域
    http://www.cnblogs.com/fczjuever/archive/2013/04/05/3000680.html
    2016新年总结
    send()和recv()函数详解
    python基础:测量python代码的运行时间
    python函数与方法装饰器
    Python基础:11.2_函数调用
    MySQL学习笔记-数据库后台线程
  • 原文地址:https://www.cnblogs.com/bestizwh/p/6664874.html
Copyright © 2011-2022 走看看