20155220 實驗4 惡意代碼分析

實驗4 惡意代碼分析

系統運行監控

1.Schtasks

• 先創建一個netstat20155220.txt文件，在文件中輸入
  date /t >> c:\netstat20155220.txt time /t >> c:\netstat20155220.txt netstat -bn >> c:\netstat20155220.txt

• 而後將此文件名改成netstat20155220.bat

• 再創建一個netstat20155220.txt，用來將記錄的聯網結果格式化輸出到其中

• 將這兩個文件剪切到c盤目錄下

• 而後，以管理員身份打開命令行，輸入schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "c:\netstat20155220.bat"
  

• TN：Task Name，本例中是netstat
• SC: SChedule type,本例中是MINUTE,以分鐘來計時

• MO: MOdifier

• TR: Task Run，要運行的指令是 netstat -bn,b表示顯示可執行文件名，n表示以數字來顯示IP和端口

• 打開netstat20155220.txt，獲得如圖：
  

Sysinternals工具集

Sysmon

• 首先咱們下載sysmon

• 對其進行解壓，在C盤建立20155220.txt文件在其中輸入

```

*




microsoft
windows

chrome.exe
iexplorer.exe
137

explorer.exe
svchost.exe
winlogon.exe

powershell.exe



```

• 而後，以管理員身份運行命令行，輸入Sysmon.exe -i 5220.txt.txt

• 配置文件能夠隨時修改，修改完須要用以下指令更新一下Sysmon.exe -c 5220.txt.txt

• 而後咱們打開控制面板，搜索事件查看，打開事件查看器，sysmon的日誌就在，應用程序和服務日誌/Microsoft/Windows/Sysmon/Operational下
  

• 咱們對日誌進行查看，如下有一些進程截圖
  

• 接下來，咱們主要對80，443端口進行監視

• 利用下面的代碼對20155220.txt進行更改，而後使用sysmon.exe -c 5220.txt，進行更新。

```

*




microsoft
windows

SogouExplorer.exe

80
443
5210

explorer.exe
svchost.exe
winlogon.exe
powershell.exe


```

• 而後咱們來查看事件查看器，如圖：
  

惡意軟件分析

Systracer

• 首先咱們進行下載，安裝
• windows什麼都不運行
  
• 嘗試回連
  
• kali輸入dir

問題

一：若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

答：監控網絡鏈接；監控是否建立新的進程；監控註冊表項目；監控系統日誌；監控是否常常鏈接未知IP。

二：若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

答：TCPView、Wireshark等網絡工具查看是否存在可疑鏈接；Systracer：程序運行先後是否有註冊表、端口、文件的變化。