zoukankan      html  css  js  c++  java
  • 20145239杜文超《网络对抗》- 恶意代码分析

    20145239杜文超《网络对抗技术》- 恶意代码分析

    实验后回答问题

    1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

    (1)使用计划任务schtasks指令动态监控系统运行

    (2)使用sysmon工具动态监控系统运行

    2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

    (1)使用systracer工具进行快照分析注册表信息、文件行为等信息的变化

    (2)把程序放在virscan上检测查看行为报告

    实验总结与体会

    这次的实验我认识并学会了许多恶意代码的检测监控软件,熟悉了他们的用途和使用方法,也从前两次恶意代码的制作者的角色转变为一个防御者的角色。这使我对恶意代码的认识更加深入,对其防范和检测有了更多经验。

    恶意代码静态分析

    1、使用http://www.virscan.org/网站

    • 以免杀实验中实验中使用Veil-Evasion生成的test2_5239为例:

    • 点击行为分析,查看这个恶意代码的行为。

    • 这个代码由PACKER:UPolyX v0.5加的壳。

    • 可以创建进程,创建文件,修改文件等等。

    • 可以删除注册表,创建对象。

    2、使用PEiD查壳工具分析软件

    • 奇怪的是结果是nothing found,翻看了同学的博客发现大家的结果大同小异,查不出问题的原因可能是这可能是一个压缩壳工具。

    恶意代码动态分析

    1、使用计划任务schtasks

    • 建立netstatlog.bat文件netstat5239.bat(重命名时注意是把拓展文件名txt改成bat),用于记录联网内容:

    date /t >> d: etstat5239.txt

    time /t >> d: etstat5239.txt

    netstat -bn >> d: etstat5239.txt

    • 在命令行中输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "d: etstat5239.bat"创建任务,每隔两分钟记录联网内容

    • 但是要注意你用cmd创建的这个触发器可能会有权限不够的情况

     

    • 这时你可以进入控制面板、管理工具、任务计划程序库找到这个触发器,并且勾选最高权限,这样就可以了。

    • kali回连后门后查看监控记录,发现了恶意代码的可疑行为:

    2、sysmon工具监控系统运行

    • 在Sysmon.exe目录下建立文件:20145239.xml,输入老师给出的代码
    • 管理员身份运行CMD,输入指令:Sysmon.exe -i 20145239.xml,进行安装,并配置xml:Sysmon.exe -c 20145239.xml

    • 设置好上述,可以进入Applications and Services Logs/Microsoft/Windows/Sysmon/Operational查看日志,需等待加载,回连并查找可疑的后门程序
    • 被我的火眼金睛发现了

    3、使用SysTracer工具分析恶意软件

    1.一开始在目标主机上进行快照保存为Snapshot #1;

    2.在虚拟机中生成后门软件,将文件传到目标主机后快照保存为Snapshot #2;

    3.在虚拟机开启监听的情况下,在目标主机运行后门程序后快照保存为Snapshot #3;

    4.在虚拟机对目标主机进行截图后在目标主机中快照保存为Snapshot #4;

    5.在虚拟机获取目标主机摄像头并拍照后在目标主机快照保存为Snapshot #5.

    • 对比#1和#2,发现主机上多了后门程序

    • 对比#2、#3发现注册列表被修改了

    • 截图后,对比#3和#4

    • 用摄像头拍照后,发现新增了照片,驱动列表也有变化,应该是调用了摄像头的驱动。

  • 相关阅读:
    vim初试(Hello World)
    CSP201809-2 买菜(超简单的方法!!)
    CSP202006-2 稀疏向量
    CSP202012-2 期末预测之最佳阈值
    浮点数表示
    结构体
    全排列-康托展开及逆展开
    CA-031 上手Games101环境 Games101环境怎么配置
    计算机图形学 实验四 AET算法
    计算机图形学 实验三 梁氏裁剪算法
  • 原文地址:https://www.cnblogs.com/dwc929210354/p/6664137.html
Copyright © 2011-2022 走看看