zoukankan      html  css  js  c++  java
  • 20145332卢鑫 恶意代码分析

    20145332卢鑫 恶意代码分析

    实验内容

    恶意代码静态分析

    1.使用网站进行分析

    分析实验二中生成的病毒程序:
    因为生成后才想到名字问题,本来是20145332.exe,扫描时改成了bd5332.exe

    通过分析发现,该程序加了壳,是由UPolyX v0.5加的。
    可以建立到一个指定的套接字连接,是网络连接
    可以自行删除注册表键以及注册表键值
    可以看出生成它的IP的一部分以及连接端口号

    2.PE Explore

    可以看出编译时间为2009年4月9日10:33:58
    PE文件头的信息以及链接器的版本号为6.0

    查看导入表:

    ADVAPI32.dll:一个高级API应用程序接口服务库的一部分,调用这个dll可以实现对注册表的操控
    WSOCK32.dll和WS2_32.dll:创建套接字,发生网络连接
    从这些程序中对比运行时的状况。。。就能感觉这个程序不太对。。。

    3.PE ID

    在下方显示什么都没找到,但如果是没有加壳的程序,会直接显示出编译器的名称

    在汇编代码中,就可以直接看到程序是干嘛的

    4.Depandence Walker

    通过这个软件可以看出dll调用

    恶意代码动态分析

    1.TCP View

    电脑进行的网络连接真的好多。。。

    2.sysmon

    安装:

    编辑xml不成功。。。没解决:

    3.SysTracer

    首先对主机进行一次快照,名字是Snapshot #1
    等生成病毒文件后再进行一次快照,名字为Snapshot #2
    将主机与Kali连接成功后进行快照,名字为Snapshot #3
    通过Kali对主机进行操作后进行快照,名字为Snapshot #4

    进行对比1和2:

    注册表发生变化,且电脑中新增了病毒文件(没有显示的原因应该是病毒文件我没有放到电脑的信任区里。。。所以显示有问题)

    进行对比2和3:

    回连成功后多了一个注册表键

    进行对比3和4:

    注册表信息又发生变化

    4.Wiershark

    可以看出双方通信的端口号5332,源目的MAC地址,源目的IP地址,使用了TCP协议

    回答问题

    (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

    答:可以监控注册表的改变,软件的行为,还有进行网络行为时的IP地址等。
    可以使用wireshark捕包软件,可以使用TCPView查看连接,还又这次实验用到的sysmon。

    (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

    答:可以使用PEID,Dependence Walker,去专业网站扫描,TCPView等软件。

    实验总结与体会

       这次发现可以用来分析的软件有这么多,而且软件之间也会通用性,就是不太好分析。。。可能英语没学好吧。。。但是觉得电脑真的太容易中病毒了!!!以后下软件还是可靠一些的好
  • 相关阅读:
    CentOS 7 配置hadoop(五) 配置sqoop(伪分布)
    CentOS 7 配置hadoop(四) 配置hive(伪分布)
    CentOS 7 配置hadoop(三) 配置hbase(伪分布)
    java高级之NIO
    字符编码与序列化
    java高级之IO流 -2
    java中的值传递和引用传递
    事务相关知识点
    mybatis中批量更新sql语句,trim、foreach标签,varchar定义理解
    java IO流之File类的使用
  • 原文地址:https://www.cnblogs.com/lx20145332/p/6648783.html
Copyright © 2011-2022 走看看