一、在win7命令行中輸入命令,建立任務計劃
算法
二、建立文本文檔,另存爲腳本「netstat5227.bat」,再拖入C盤中chrome
date /t >> c:\netstat5227.txt time /t >> c:\netstat5227.txt netstat -bn >> c:\netstat5227.txt
三、打開「任務計劃程序」,找到剛剛建立的進程任務,雙擊進行設置shell
(PS:須要在常規頁面裏開啓以最高權限執行
不然會出現不能運行的狀況)網絡
四、過了第一個五分鐘後,txt中就會有更新的內容
工具
五、將txt文件導入excel進行統計分析
命令行
一、建立sysmon5227.txt
做爲配置文件3d
<Sysmon schemaversion="4.20"> <!-- Capture all hashes --> <HashAlgorithms>*</HashAlgorithms> <EventFiltering> <!-- Log all drivers except if the signature --> <!-- contains Microsoft or Windows --> <ProcessCreate onmatch="exclude"> <Image condition="end with">chrome.exe</Image> </ProcessCreate> <FileCreateTime onmatch="exclude" > <Image condition="end with">chrome.exe</Image> </FileCreateTime> <NetworkConnect onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <SourcePort condition="is">137</SourcePort> <SourceIp condition="is">127.0.0.1</SourceIp> </NetworkConnect> <NetworkConnect onmatch="include"> <DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</TargetImage> <TargetImage condition="end with">svchost.exe</TargetImage> <TargetImage condition="end with">winlogon.exe</TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>
二、進入sysmon
解壓的路徑執行sysmon.exe -i C:\sysmon\sysmon5227.txt
進行安裝
excel
三、進入事件查看器
code
四、進入kali,打開msfconsole,win7運行後門進行回連
blog
五、查詢到進程號
六、在事件查看器裏以進程號查找關鍵字
一、使用VirusTotal分析惡意軟件
二、使用Process Monitor分析惡意軟件
獲得進程號
使用程序中的filter
功能查找到進程
獲得結果
三、使用Process Explorer分析惡意軟件
四、使用PEiD分析惡意軟件
打開軟件,先分析未帶殼的後門程序
再分析帶殼的
五、使用systracer分析惡意軟件
保存了兩個快照:Snapshot #1是運行後門前;Snapshot #2是運行後門後
經過compare發現註冊表出現了改動
查看「opened handles」,進行對比
查看"open port",進行對比
netstat5227.bat
時候,運行發現對應的txt文件沒有更新以最高權限運行
,不然權限不夠不能運行