基础问题回答
1、如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
这次试验的软件都可以,、sysmon监视系统活动记录、每隔一定时间获取一下每个进程联网的状态并记录到windows事件日志,得到有关进程创建,网络链接和文件创建时间更改的详细信息,Process Explorer工具可以监视进程执行情况,用wireshark进行抓包分析,查看系统到底进行了哪些网络连接。可以监控注册表的变化,文件的变化。
2、如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
使用systracer工具分析某个程序执行前后,拍下snapshot快照分析计算机注册表、文件、端口的变化。使用PEiD查看这个程序是否加壳。使用Process Monitor查看实时文件系统、注册表和进程/线程活动
使用schtasks指令监控系统运行
先在C盘目录下建立一个netstatlog.bat文件。可以先使用记事本编辑后改后缀。用来将记录的联网结果格式化输出到netstatlog.txt文件中。
netstatlog.bat内容为:
date /t >> c:
etstatlog.txt
time /t >> c:
etstatlog.txt
netstat -bn >> c:
etstatlog.txt
打开Windows下cmd,输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c: etstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务
查看netstatlog.txt
可以看到里面有系统,显卡,浏览器等等。
使用sysmon工具监控系统运行
sysmon微软Sysinternals套件中的一个工具,安装需要配置文件。
之后进行安装
打开事件管理器
windows的命令提示行在运行。
web网站分析
之前的一个程序,放到评测网站virscan上进行分析。可以看到这个软件的行为,试图删除注册表。
使用systracer工具分析恶意软件
首先在执行后门之前打开安装好的SysTracer.
打开攻击机msfconsle,开放监听;win7下对注册表、文件、应用情况进行快照,保存为Snapshot #1
win10下打开木马exe,回连kali,win7下再次快照,保存为Snapshot #2
kali中通过msf发送文件给win7靶机,win7下再次快照,保存为Snapshot #4
kali中对win7靶机进行屏幕截图,win7下再次快照,保存为Snapshot #3
Process Explorer分析恶意软件
用PE explorer打开文件5310backdoor,查看PE文件编译的一些基本信息,导入导出表等。
点击一下上面的“导入表(Import)”,查看一下这个程序都调用了哪些dll文件:
WSOCK32.dll和WS2_32.dll这两个DLL用于创建套接字,即会发生网络连接。
使用Dependency Walker
从上图可知,通过查看DLL文件的函数,该可执行文件会删除注册表键和注册表键值。
使用Process Monitor分析恶意软件
这里大部分都是系统进程啊,应该没有恶意软件。
PEiD
使用PEiD软件可以查看恶意软件的壳的相关信息,以及其所使用的编译器版本:
心得
这次接触到了好多分析恶意代码的工具,其实还是很有用的,但是我觉得吧,大部分时候我们都会因为懒或者怎样,就算知道自己的电脑里有恶意代码检视自己也会懒得去分析,其实这样会造成各种各样的安全隐患,比如个人隐私泄露等等。应该还是要两头抓吧,即从源头养成良好的习惯尽量避免恶意代码进入自己的电脑,又定期的分析自己的电脑有没有遭受恶意代码的侵袭。