首页 技术 正文
技术 2022年11月24日
0 收藏 556 点赞 2,392 浏览 1804 个字

20145307陈俊达《网络对抗》Exp4 恶意代码分析

基础问题回答

如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

使用schtasks指令设置一个计划任务,指定每隔一定时间记录主机的联网记录或者是端口开放、注册表信息来分析有没有可以的相关记录

通过sysmon工具,配置好记录事件的文件,之后在事件查看器里找到相关日志文件查看;

使用Process Explorer工具,监视进程执行情况,查看是否有程序调用了异常的dll库之类的。

总之就是用各种工具各种手段来监视dll动态库 ip开放端口 注册列表 pid进程之类的敏感接口来操作监视

如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

Wireshark进行抓包分析,查看该程序联网时进行了哪些操作 收发了那些数据包

systracer工具分析某个程序执行前后,拍下snapshot快照分析计算机注册表、文件、端口的变化

用peid来分析可执行文件的构造 编码 运行 debug方式等等

使用schtasks指令监控系统运行

先在C盘目录下建立一个netstatlog.bat文件,之后修改后缀名,使它成为一个批处理文件.dat,用来将记录的联网结果格式化输出到netstatlog.txt文件中,netstatlog.bat内容为:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

用leafpad键入也行,用terminal键入也行

20145307陈俊达《网络对抗》Exp4 恶意代码分析

打开Windows下命令提示符,输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务:

20145307陈俊达《网络对抗》Exp4 恶意代码分析

之后查看一下netstatlog.txt

20145307陈俊达《网络对抗》Exp4 恶意代码分析

可以发现很多程序联网,比如迅雷thunder.exe

使用sysmon工具监控系统运行

sysmon微软Sysinternals套件中的一个工具,安装需要配置文件,按照git上的代码进行配就行 之后执行安装

20145307陈俊达《网络对抗》Exp4 恶意代码分析

之后打开事件管理器,分析一波

20145307陈俊达《网络对抗》Exp4 恶意代码分析

来先搞一个分析一波

20145307陈俊达《网络对抗》Exp4 恶意代码分析

一看这是vmware带的服务程序 apr 3th运行的,具体是啥讲道理vmware带的那一堆服务我也不清楚啊,但是还是这种虚拟化程序还是挺神奇的。你看最后一行有个啥1366 768 那是我电脑的分辨率规格 估计这个东西跟输出显示有关吧 我猜的

web网站分析

20145307陈俊达《网络对抗》Exp4 恶意代码分析

这是我们之前创建的程序,搞到网上test一下。

可以看到 文件类型exe可执行文件 版本2.2 外壳信息 连接的ip,第三位是199,网站把ip打了马赛克 看他是啥行为 哇 这人居然要删除我的注册列表 这就过分了啊 显然是恶意软件无疑嘻嘻 这个web分析还是挺厉害的嘛

使用systracer工具分析恶意软件

注意 这个软件没购买 它的快照次数 和能保存的快照都有限,别搞事 安装了赶紧使用快照,不然你的次数用完就完蛋了

20145307陈俊达《网络对抗》Exp4 恶意代码分析

就一个没恶意代码 一个有代码 一个运行exploit之后 一个kali主机dir命令下传后 对快照进行compare比对问题 他甚至可以输出为pdf文件 你可以试一下export导出 慢慢分析

使用Process Explorer分析恶意软件

使用Process Explorer对恶意软件进行分析时可以看到启动回连时在运行的后门程序:

后门程序还是那个hackit.exe 可以观察到在cmd下他在运行

20145307陈俊达《网络对抗》Exp4 恶意代码分析

双击打开详情 可以看到它的远程ip 是我的kali的ip

20145307陈俊达《网络对抗》Exp4 恶意代码分析

这很恐怖居然暴露了我的kali主机ip 恐怖恐怖

使用Process Monitor分析恶意软件

使用Process Monitor对恶意软件进行分析时可以看到很多Explorer.exe进程

20145307陈俊达《网络对抗》Exp4 恶意代码分析

可我没事闲的开那么多ie窗口干嘛 这显然是恶意软件的伪装 伪装成了ie.exe

 使用PEiD分析恶意软件

使用PEiD软件可以查看恶意软件的壳的相关信息,以及其所使用的编译器版本:

20145307陈俊达《网络对抗》Exp4 恶意代码分析

心得

这次实验主要是分析 要搞的代码之前就可以了 主要是分析
自己的电脑要真出问题你要学会分析 用什么分析呢 分析哪些软件呢 出问题后和出问题前 有什么不同啊 你看 我们就能用一个快照来解决 甚至可以比对文件 不用我们自己慢慢的找了 学了这么多还是要学会应用 不要你还是啥都没学会 学习怎么去解决问题 这才是最刺激的 最有用的 20145307继续努力

微信扫一扫

支付宝扫一扫

本文网址:https://www.zhankr.net/142028.html

相关推荐
python开发_常用的python模块及安装方法
adodb:我们领导推荐的数据库连接组件bsddb3:BerkeleyDB的连接组件Cheetah-1.0:我比较喜欢这个版本的cheeta…
日期:2022-11-24 点赞:875 阅读:5,090
Educational Codeforces Round 11 C. Hard Process 二分
C. Hard Process题目连接:http://www.codeforces.com/contest/660/problem/CDes…
日期:2022-11-24 点赞:806 阅读:3,508
下载Ubuntn 17.04 内核源代码
zengkefu@server1:/usr/src$ uname -aLinux server1 4.10.0-19-generic #21…
日期:2022-11-24 点赞:565 阅读:4,320
可用Active Desktop Calendar V7.86 注册码序列号
可用Active Desktop Calendar V7.86 注册码序列号Name: www.greendown.cn Code: &nb…
日期:2022-11-24 点赞:730 阅读:4,314
Android调用系统相机、自定义相机、处理大图片
Android调用系统相机和自定义相机实例本博文主要是介绍了android上使用相机进行拍照并显示的两种方式,并且由于涉及到要把拍到的照片显…
日期:2022-11-24 点赞:512 阅读:4,920
Struts的使用
一、Struts2的获取  Struts的官方网站为:http://struts.apache.org/  下载完Struts2的jar包,…
日期:2022-11-24 点赞:671 阅读:3,105
发表评论
暂无评论

还没有评论呢,快来抢沙发~

助力内容变现

将您的收入提升到一个新的水平

点击联系客服

在线时间:8:00-16:00

客服电话

400-888-8888

客服邮箱

ceotheme@ceo.com

扫描二维码

关注微信公众号

扫描二维码

手机访问本站