实践目标
- 监控你自己系统的运行状态,看有没有可疑的程序在运行。
- 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
- 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
实践内容概述
- 系统运行监控
- 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联 ,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。
- 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
- 分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
- 读取、添加、删除了哪些注册表项
- 读取、添加、删除了哪些文件
- 连接了哪些外部IP,传输了什么数据
基础问题回答
如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
1.安装配置sysinternals里的sysmon工具,设置合理的配置文件
2.定时让主机执行netstat
3.使用Process Explorer工具或者Process Monitor工具,监视文件系统等等
如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
1.使用Wireshark进行抓包分析
2.使用Systracer拍摄快照,比对前后区别
3.使用Process Explorer工具或Process Monitor工具经行监视
1.使用schtasks指令监控系统
使用
插入计划,其中
- 是TaskName的缩写,我们创建的计划任务名是netstat5220
- 表示计时方式,我们以分钟计时填MINUTE;
- =Task Run,要运行的指令是 netstat
- ,表示显示可执行文件名,表示以数字来显示IP和端口;
- 表示输出重定向,将输出存放在文件中
列数据格式选择常规;
生成统计图
在cmd中输入sysmon.exe -i C:sysmon20165220.xml命令,安装sysmon;
弹出的窗口选择agree;
- 利用Sysmon具体分析后门程序;
-
启动Kali,进行回连;
找到运行后门文件相对应的日志,查看详细信息,可以看到这个后门映像文件的具体位置等一些信息;
– 使用PEiD分析恶意软件
扫描加了压缩壳的后门程序,可以发现压缩壳;
扫描加了加密壳的后门程序,什么也没有找到;
完成安装后进行对回连前后分别进行快照,take snapshot;
回连后继续take snapshot
查看opened handles来对比他们都做了什么;
分析数据包可以看到其他占用信息;
实验总结与体会
这次实验还是比较麻烦的,做了很多分析的工作,我们可以使用一些恶意代码分析软件来分析恶意代码,也初步尝试监控我们电脑了。
比如可以周期性的运行一个任务,查看联 的程序、连接的外部IP等。通过分析,可以发现我们电脑存在的一些隐患或问题。
其实这样我们才能更加全面的了解分析恶意代码,收获很大。希望下次还能接触到更多类似的分析,学到更多知识!
相关资源:基于C程序的周易占卜软件_c语言算命系统-C#代码类资源-CSDN文库
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!