20145328 《網絡對抗技術》惡意代碼分析

時間 2019-11-24

標籤網絡對抗技術惡意代碼分析欄目系統網絡简体版

原文原文鏈接

------看到這句話說明還沒寫完--------瀏覽器

實踐內容：

此次是開學到如今完成時間最長的實踐，拖了這麼長時間並非由於實踐內容有多難，而是由於本次實踐內容基本上都是一些分析的東西，相對來講就枯燥不少了，特別是對着屏幕上一大堆數據的時候整我的都快瘋了。但實際上靜下心來慢慢梳理，仍是比較簡單的，由於數據類似性很高，把一些常常出現的重複項去掉，分析起來就方便了不少。可是還存在一個問題就是可能你分析了半天發現電腦裏好像一切正常，但可能只是剛好電腦裏的惡意軟件沒有搞事情而已，越說心越累

打開Windows下命令提示符，輸入指令C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"指令建立一個每隔五分鐘記錄計算機聯網狀況的任務：
網絡
在C盤目錄下創建一個netstatlog.bat文件，用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中，netstatlog.bat內容爲：
函數
再打開計劃任務將其中每5分鐘執行的指令從"cmd /c netstat -bn > c:\netstatlog.txt"替換爲「c:\netstatlog.bat」，打開C:\netstatlog.txt：
工具
時隔一天，netstatlog.txt文件已經達到兩百多K了，裏面的記錄內容也是至關的長，圖中能夠看到記錄內有顯示個人瀏覽器正處於聯網的狀態
網站
中間開啓過一次上次實驗所作的後門軟件進行回連，但在該指令記錄以前就已經關閉了，所以文檔中並無找到，說明也不能徹底的就信任該指令對於系統運行的監控記錄，有可能個人系統裏面確實是存在惡意軟件的，只是恰好在監控進行記錄的時候它沒有搞事情，這樣一來就不會被記錄在案了，解決方法只能是減少記錄時間的間隔，但這樣一來所帶來的的問題就是須要分析的數據內容會隨着記錄時間間隔減少而增多
設計

sysmon微軟Sysinternals套件中的一個工具，能夠從碼雲項目的附件裏進行下載，要使用sysmon工具先要配置文件，直接用的老師給的配置文件，這裏雖然是複製粘貼就好了但仍是要注意xml配置文件是大小寫敏感的，在對配置進行修改的時候要注意：
調試
配置好文件以後，要先使用Sysmon.exe -i C:\Sysmoncfg.xml指令對sysmon進行安裝：
日誌
啓動以後，即可以到事件查看器裏查看相應的日誌，好比這個事件是以前作計劃任務時所建立的
xml
例以下面的事件是在實踐過程當中截圖時建立文件：
對象