20155206 實驗4 惡意代碼分析

20155206 實驗4 惡意代碼分析

系統運行監控

1.Schtasks

、 創建一個netstat20155206.txt文件，在文件中輸入
date /t >> c:\netstat20155206.txt time /t >> c:\netstat20155206.txt netstat -bn >> c:\netstat20155206.txt

、 將此文件名改成netstat20155206.bat
、 再創建一個netstat20155206.txt
、 將這兩個文件剪切到c盤目錄下

方法

、 打開控制面板，搜索計劃任務

、選擇建立任務，名稱設爲20155206，並選擇使用最高權限運行


、 打開20155206.txt，獲得如圖

Sysinternals工具集

2.1Sysmon

、 下載sysmon
、 對其進行解壓，在C盤建立20155206.txt文件在其中輸入
` //4.00爲你的版本號，如不知道版本號，可先運行下面的指令，根據所提示的錯誤進行更改

*




microsoft
windows

chrome.exe
iexplorer.exe
137

explorer.exe
svchost.exe
winlogon.exe
powershell.exe


、 以管理員身份運行命令行，輸入Sysmon.exe -i 20155210.txt`

、 打開控制面板，搜索事件查看，打開事件查看器，sysmon的日誌就在，應用程序和服務日誌/Microsoft/Windows/Sysmon/Operational下

、 對日誌進行查看

、 searchfilterhost建立程序

、 運行了360瀏覽器
、 接下來，咱們主要對80，443端口進行監視
、 利用下面的代碼對20155206.txt進行更改，而後使用sysmon.exe -c 20155206.txt，進行更新。
`

*




microsoft
windows

SogouExplorer.exe

80
443
5210

explorer.exe
svchost.exe
winlogon.exe
powershell.exe


`
、 如圖

、 查看事件查看器

、 20155206_backdoor.exe運行

、** 20155206_backdoor.exe回連成功，可是沒有目的端口號和資源端口號。

、 上圖是在kali端回連成功後進行dir操做後的截圖**

2.2TCPview

、 查閱資料通常localport 爲cifs都是後門，cifs是一個新提出的協議，它使程序能夠訪問遠程Internet計算機上的文件並要求此計算機提供服務。很明顯若是有程序的LocalPort顯示爲cifs的時候就要注意了

惡意軟件分析

、 首先咱們下載Systracer，安裝
、 而後進行快照

問題

、 後門程序運行成功並回連後在事件查看器中的沒有體現出應有的信息。