zoukankan      html  css  js  c++  java
  • 20155206 实验4 恶意代码分析

    20155206 实验4 恶意代码分析

    系统运行监控

    1.Schtasks

    、 建立一个netstat20155206.txt文件,在文件中输入
    date /t >> c: etstat20155206.txt time /t >> c: etstat20155206.txt netstat -bn >> c: etstat20155206.txt

    、 将此文件名改为netstat20155206.bat
    、 再建立一个netstat20155206.txt
    、 将这两个文件剪切到c盘目录下

    方法

    、 打开控制面板,搜索计划任务

    、选择创建任务,名称设为20155206,并选择使用最高权限运行


    、 打开20155206.txt,得到如图

    Sysinternals工具集

    2.1Sysmon

    、 下载sysmon
    、 对其进行解压,在C盘创建20155206.txt文件在其中输入
    ` //4.00为你的版本号,如不知道版本号,可先运行下面的指令,根据所提示的错误进行更改

    *

    microsoft windows chrome.exe iexplorer.exe 137 explorer.exe svchost.exe winlogon.exe powershell.exe ` 、 以管理员身份运行命令行,输入`Sysmon.exe -i 20155210.txt` ![](https://images2018.cnblogs.com/blog/1072276/201804/1072276-20180418135945252-1878507891.png)

    、 打开控制面板,搜索事件查看,打开事件查看器,sysmon的日志就在,应用程序和服务日志/Microsoft/Windows/Sysmon/Operational下


    、 对日志进行查看

    、 searchfilterhost创建程序


    、 运行了360浏览器
    、 接下来,我们主要对80,443端口进行监视
    、 利用下面的代码对20155206.txt进行更改,然后使用sysmon.exe -c 20155206.txt,进行更新。
    `

    *

    microsoft windows SogouExplorer.exe 80 443 5210 explorer.exe svchost.exe winlogon.exe powershell.exe ` 、 如图 ![](https://images2018.cnblogs.com/blog/1072276/201804/1072276-20180418140200952-1365973736.png) 、 查看事件查看器


    、 20155206_backdoor.exe运行

    、** 20155206_backdoor.exe回连成功,但是没有目的端口号和资源端口号。**

    、** 上图是在kali端回连成功后进行dir操作后的截图**

    2.2TCPview

    、 查阅资料一般localport 为cifs都是后门,cifs是一个新提出的协议,它使程序可以访问远程Internet计算机上的文件并要求此计算机提供服务。很明显如果有程序的LocalPort显示为cifs的时候就要注意了

    恶意软件分析

    、 首先我们下载Systracer,安装
    、 然后进行快照

    问题

    、 后门程序运行成功并回连后在事件查看器中的没有体现出应有的信息。

  • 相关阅读:
    在Oracle中添加用户 赋权 修改暗码 解锁
    Ubuntu Linux 8.04 Vsftp 假造用户设置
    用一个实例讲解DB2数据库游标轮回的成果
    解说Oracle数据库自动增长列的完成过程
    MSN登录错误“80072efd”解决办法
    再学 GDI+[61]: 路径画刷(1) SetCenterColor、SetSurroundColors
    WinAPI: 测试 BitBlt
    两个 CopyRect
    再学 GDI+[58]: 路径 保存与读取路径数据
    再学 GDI+[62]: 路径画刷(2) SetCenterPoint、GetCenterPoint
  • 原文地址:https://www.cnblogs.com/zf011/p/8874601.html
Copyright © 2011-2022 走看看