20145315何佳蕾《網絡攻防》惡意代碼分析

報告內容

1.實驗後回答問題

（1）總結一下監控一個系統一般須要監控什麼、用什麼來監控。

• 監控聯網信息，監控連接了哪些ip，監控註冊表信息，監控文件等

• 能夠用sysinternals裏的sysmon工具進行監控，能夠對比快照

  （2）若是在工做中懷疑一臺主機上有惡意代碼，請設計下你準備如何找到對應進程、惡意代碼相關文件。

• 用sysmon工具進行監控，觀察日誌文件，監控聯網信息，註冊表信息，從中發現不正常的可能屬於惡意代碼的行爲，再找到惡意代碼對應的進程和文件。

2.實驗總結與體會

• 惡意代碼雖然能夠免殺，可是它仍是會留下痕跡，能夠被發現和清理。
• 要在本身電腦上進行監控，以便及時發現惡意代碼。
• 對於不信任的應用，能夠在運行先後保存快照，經過分析它的行爲來判斷它是不是惡意的。

3.實踐過程記錄

（1）動態分析觀察快照先後對比

• 使用systracer對靶機保存快照1

• 快照1

• 在靶機使用後門連接攻擊機

• 再次保存快照2

• 對比

• 攻擊機抓取靶機截圖

• 再次保存快照3
• 抓取靶機截屏時的對比

• 打開wireshark抓包分析

• 攻擊機開啓靶機攝像頭
• 再次保存快照4

• wireshark

（2）使用任務計劃，記錄電腦有哪些程序聯網

（3）sysmon監控

• 設置並打開sysmon
• 查看日誌文件