20155321 《网络攻防》 Exp4 恶意代码分析

计划任务监控

  • 在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下:
date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

如下图所示,此处要用到管理员权限

  • netstatlog.bat文件的作用:记录的联网结果,按格式输出到相同目录下的netstatlog.txt文件中。

  • 用指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"创建任务来记录每隔两分钟计算机的联网情况。如下图所示,

  • 在实验时可发现每隔两分钟.txt文件就会有一次更新,从内容上看可发现.txt文件记录了哪些进程在运行着



sysmon工具监控

  • sysmon微软Sysinternals套件中的一个工具,可以从码云项目的附件里进行下载,要使用sysmon工具先要配置文件,此处直接用教程上的配置文件,但因我是在Sysmon官网上下载的,因此版本号要改为4.00

  • 配置好后,使用指令Sysmon.exe -i C:\Sysmoncfg.txt对sysmon进行安装,结果如下所示

  • 命令行下输入eventvwr命令打开应用程序和服务日志,在Microsoft->Windows->Sysmon->Operational下找到相应的记录文件,如下图所示

  • 以下是我截取的事件查询器下的几条信息



    这是启动QQ时检测到的



    这是使用百度时检测到的



    这是使用有道云笔记时检测到的

使用wireshark进行分析

  • 使用wireshark也可以抓到kali虚拟机回连到主机的TCP三次握手包,如下图所示:

使用Process Monitor分析恶意软件

  • Process Monitor 是一款由 Sysinternals 公司开发的包含强大的监视和过滤功能的高级 Windows 监视工具,可实时显示文件系统、注册表、进程/线程的活动。
  • 打开软件,可以看出其对各个进程的详细记录,从图中可看到在实验过程中我曾使用过的Sysmon软件

使用Process Explorer分析恶意软件

  • 在虚拟机下通过PE explorer打开文件2015321_1.exe,可以查看PE文件编译的一些基本信息,导入导出表等。
  • 可看到文件的编译时间、链接器等基本信息:

  • 实验时,我在用kali虚拟机进行回连时可以从下图中发现被捕获到了

使用PEiD分析恶意软件

  • PEiD是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。
  • 先测试了实验2生成的后门程序,可从结果看出,此文件是一个不正当的文件:

  • 测试了实验三使用的后门文件,可以查看恶意软件的壳的相关信息,以及其所使用的编译器版本

使用VirusTotal分析恶意软件

  • 把实验三生成的恶意代码放在VirusTotal进行分析,结果如下:



    可从上图中看出,在64个杀软中,有26个测出病毒,说明此文件时很有问题的。
  • detail处可看到此文件的相关信息,包括摘要值等等

  • 该恶意代码支持的算法库情况

实验后回答问题

  • 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

    • 方法一:可以使用sysmon软件进行监测,它每两分钟会将运行的程序以日记的方式记录下来,我认为可以选择你自己认为最有可能被攻击的时段去查看有无恶意代码在运行。
    • 方法二:可以使用systracer注册表分析方法进行,在最开始建立一个快照,在你觉得可能有恶意代码入侵的时候再建立一个快照,然后以对比的方式找出不同,也会有机会找到恶意代码。
    • 方法三:可以使用wireshark抓包的方法,通过查看是否有回连操作找到是否有恶意代码在运行。

  • 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

    • 使用systracer进行快照对比
    • 使用PEiD查看自己认为有问题的执行文件是否有加壳等其他信息
    • 可以在virscan上将怀疑的程序放上去进行扫描,看信息

实验总结与体会

  • 我觉得通过本次实验收获还是不少的,不仅仅是因为学会了几种不同软件去监测的自己电脑,不像之前对这方面的知识基本上是空白的,除此之外,我觉得最重要的是它给我提供了一种思路,当我觉得自己的电脑可能是有恶意代码入侵的时候我可以有办法去查到关于这恶意代码的相关信息,从而进行相应的防范措施。

20155321 《网络攻防》 Exp4 恶意代码分析的更多相关文章

  1. 2018-2019 20165237网络对抗 Exp4 恶意代码分析

    2018-2019 20165237网络对抗 Exp4 恶意代码分析 实验目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后 ...

  2. 2018-2019 20165235 网络对抗 Exp4 恶意代码分析

    2018-2019 20165235 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件 ...

  3. 2018-2019 20165319 网络对抗 Exp4 恶意代码分析

    基础问题回答 1. 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控 答:1.使用Windows自带的schta ...

  4. 2018-2019-2 《网络对抗技术》Exp4 恶意代码分析 Week6 20165311

    2018-2019 20165311 网络对抗 Exp4 恶意代码分析 2018-2019 20165311 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控(2分) 恶意软件分析(1.5分) ...

  5. 2018-2019-2 20165312《网络攻防技术》Exp4 恶意代码分析

    2018-2019-2 20165312<网络攻防技术>Exp4 恶意代码分析 知识点总结 1.有关schtasks schtacks的作用:安排命令和程序定期运行或在指定时间内运行.从计 ...

  6. 20155326《网络攻防》Exp4 恶意代码分析

    20155326<网络攻防>Exp4 恶意代码分析 基础问题回答: 1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪 ...

  7. 20145236《网络攻防》Exp4 恶意代码分析

    20145236<网络攻防>Exp4 恶意代码分析 一.基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些 ...

  8. 20155310 《网络攻防》Exp4 恶意代码分析

    20155310 <网络攻防>Exp4 恶意代码分析 基础问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些, ...

  9. 20155318 《网络攻防》Exp4 恶意代码分析

    20155318 <网络攻防>Exp4 恶意代码分析 基础问题 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什 ...

随机推荐

  1. ActiveReports 报表应用教程 (10)---交互式报表之向下钻取(详细数据按需显示解决方案)

    在葡萄城ActiveReports报表中可以动态的显示或者隐藏某区域的数据,通过该功能用户可以根据需要显示或者隐藏所关心的数据,结合数据排序.过滤等功能可以让用户更方便地分析报表数据. 本文中展示的是 ...

  2. JavaScript Data.parse()转化时间戳安卓和ISO不兼容

    Data.parse()获取时间戳,在Android是没有问题的,但是在ISO就不行了,原因在于转化成时间戳的时间格式不一样. Android的格式是如“2017-12-12 12:12:12”,IS ...

  3. 【Redis】Redis学习(七) Redis 持久化之RDB和AOF

    Redis 持久化提供了多种不同级别的持久化方式:一种是RDB,另一种是AOF. RDB 持久化可以在指定的时间间隔内生成数据集的时间点快照(point-in-time snapshot). AOF ...

  4. MAC安装了mumu安卓模拟器,但无法检测到该模拟器

    1.adb   devices  看不到模拟器 2.adb connect 127.0.0.1:5555 3.adb kill-server 没有报错,即成功 4. adb start-server ...

  5. centos6.5安装mysql

    1.yum -install  mysql mysql-server -y 2.修改mysql的root的密码 登录:mysql -uroot        修改密码:            use ...

  6. 虚拟机压力测试延迟高的可能原因及 ILPIP 配置 / 查询脚本

    测试初期 Client VM 的延迟结果正常: 测试后期 Client VM 的延迟偶尔突增/连接失败,越后期超高延迟(比如 30 秒)出现越多: 问题分析 造成这一现象的根本原因很可能是 SNAT( ...

  7. Practice telephone techniques

    https://www.englishclub.com/speaking/telephone-practice-appointments.htm https://www.englishclub.com ...

  8. SQL SERVER解析Json

    外包的项目,有很多信息存储在JSON中,无论是查询还是修改信息都十分麻烦.找了一些实用的SQL Function去解析,并附修改例子. 使用过程: 1. 需要在SQL新建自定义类型 table: Hi ...

  9. mysql5.7.24启动报错:ERROR 1862 (HY000): Your password has expired. To log in you must change it using a client that supports expired passwords.

    报错原因是:密码过期.不管你是刚刚修改密码还是什么,只要登陆都是有问题的,都是报这样子的错误. 解决方法是: 1.修改/etc/my.cnf文件,在[mysqld]下加入“skip-grant-tab ...

  10. DevExpress06、Popup Menus、RadialMenu、XtraTabControl、SplitContainerControl、GroupControl

    Popup Menus 弹出菜单 使用弹出菜单(popup menus),我们可以在   控件上   显示   上下文选项   或  命令. 弹出菜单是一个显示了特定项的窗体,用户可以选择这些项以执行 ...