zoukankan      html  css  js  c++  java
  • 20155310 《网络攻防》Exp4 恶意代码分析

    20155310 《网络攻防》Exp4 恶意代码分析

    基础问题

    1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

    (1)使用计划任务,指定每隔一定时间记录主机的网络连接情况。

    (2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为,在事件查看器里找到相关日志文件便可以查看。

    2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
    (1)使用virscan分析可疑程序,分析文件行为。

    (2)使用systracer工具,比对前后区别,动态分析注册表修改情况和文件修改情况等,分析原因。

    (3)使用Wireshark进行抓包分析,查看该程序传输了哪些数据。

    (4)使用TCPView查看可疑连接。

    实践内容

    系统运行监控

    •使用计划任务,每隔2分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。

    •在C盘要目录下建一个文件c: etstatlog.bat

    •先创建一个.exe文件,内容为
    date /t >> c: etstatlog.txt
    time /t >> c: etstatlog.txt
    netstat -bn >> c: etstatlog.txt

    •保存后修改文件名为“netstatlog.bat”;
    •运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么。

    •经分析主要有vmware-authd,vmware,WeChat,thunderplatform,svchost.exe等等,
    安装配置sysinternals里的sysmon工具

    设置合理的配置文件,监控自己主机的重点事可疑行为。
    •sysmon微软Sysinternals套件中的一个工具,可以从码云项目的附件里进行下载,要使用sysmon工具配置文件Sysmoncfg.xml

    •配置好文件之后,使用sysmon -accepteula -i -n和sysmon -c Sysmoncfg.xml进行安装:

    •打开事件查看器,如下图:

    •查看部分事件的详细信息
    •临时文件(APP缓存数据)

    •使用微信

    •使用kali进行后门回连

    •sysmon立即捕捉到后门程序的运动


    恶意软件分析

    Systracer
    •首先我们进行下载,安装
    •windows什么都不运行

    •尝试回连

    •kali输入dir

  • 相关阅读:
    解决Maven项目pom.xml文件报xxx argetclassesMETA-INFMANIFEST.MF (系统找不到指定的路径。)问题
    MYSQL安装时解决要输入current root password的解决方法
    [多图]Windows 10 Build 10565今推送:优化界面菜单 Cortana改进
    Windows Server 2016 预览版下载
    编程书籍推荐——按角色划分
    编程书籍推荐——按内容划分
    无线路由器一、二、三根天线有什么区别?
    thinkphp5 下 的Nginx 伪静态
    linux 下执行python.py 无效解决方案
    Python Qt5 Creator 使用创建项目教程
  • 原文地址:https://www.cnblogs.com/m20155310/p/8874715.html
Copyright © 2011-2022 走看看