1.監控本身系統的運行狀態,看有沒有可疑的程序在運行。shell
2.分析一個惡意軟件,分析Exp2或Exp3中生成後門軟件。windows
使用 netstat 定時監控瀏覽器
首先建立一個txt文件,用來將記錄的聯網結果按格式輸出到netstatlog.txt
文件中,內容爲:安全
date /t >> c:\netstatlog.txt網絡
time /t >> c:\netstatlog.txt工具
netstat -bn >> c:\netstatlog.txt網站
更改後綴名爲bat(批處理文件),右鍵開始菜單打開命令提示符(管理員模式,否則權限不夠)輸入指令 schtasks /create /TN 20154321 /sc MINUTE /MO 2 /TR "c:\20154321.bat(上面建立的文件) 建立間隔2分鐘的計劃任務。設計
過一段時間等收集到足夠多的數據後,建立一個excel在數據選項卡中選擇導入數據,選中保存的netstatlog.txt文件,設置使用 分隔符號 ,並勾選所有分隔符號。3d
單擊數據透視表,選中進程那一列,建立到新的工做表中,把字段拉到行和值中,選爲計數,就獲得各進程的活動數了調試
再看看外部網絡鏈接
相比進程多了好多,應該是瀏覽器瀏覽不一樣地址形成的。
使用 sysmon 工具監控
首先配置sysmon,建立一個txt文件,輸入配置信息,可根據需求增添刪改。
管理員模式運行cmd,用cd指令轉到sysmon目錄,輸入指令 sysmon.exe -i 20154321.txt(若是配置文件與sysmon.exe不在同一目錄,須要輸入配置文件的目錄),跳出安裝窗口後贊成完成安裝。
啓動sysmon以後能夠在 右鍵個人電腦——管理——事件查看器——應用程序和服務日誌——Microsoft——Windows——Sysmon——Operational 查看日誌文件。
找到了我本身啓動本身製做的後門文件
在virscan網站上對上次實驗中C語言調用shellcode直接編譯的後門文件作行爲分析
能夠看到攻擊方主機的部分IP及端口號,且說明了有刪除註冊表鍵和鍵值、檢測自身是否被調試以及建立事件對象的行爲。
首先下載,安裝很簡單雖然是英文版,以後捕獲快照。
點擊take snapshot來快照,創建4個快照,分別爲:
snapshot#1 後門程序啓動前,系統正常狀態
snapshot#2 啓動後門回連Linux
snapshot#3 Linux控制windows查詢目錄
snapshot#4 Linux控制windows在桌面建立一個路徑
對比前,咱們先看下他的規則
先對比下1,2兩種狀況:
能夠看到打開後門後修改了以上兩項註冊表的內容,在應用(Application)——打開端口(Opened Ports)中能看到後門程序回連的IP和端口號。
對比3,4狀況:
啓動後會抓到很是多的進程數據,能夠點出工具——進程樹便利查看,多了堆棧信息
能看出後門程序運行起來後確實與explorer.exe有很大的關係
在進程樹中找到後門進程右鍵轉到事件,能夠在主窗口中找到程序,能直接看到回連的IP地址和端口號
打開process explorer後,接着運行後門程序回連,發現個人後門程序以紫色高亮身份顯示
1.若是在工做中懷疑一臺主機上有惡意代碼,但只是猜測,全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些,用什麼方法來監控。
應當首先更新病毒庫,並對敏感懷疑位置進行病毒查殺,若是沒有找到,應該開啓相關病毒掃描引擎,對計算機進行動態掃描,監控主機鏈接狀況,統計結果後找出可疑的Ip地址和端口號,可對這些ip和端口進行有針對性的抓包,查看有無創建套接字等可疑的行爲、查看有無可疑的傳輸內容等,還能夠經過systracer等查看註冊表、進程等的變化。
2.若是已經肯定是某個程序或進程有問題,你有什麼工具能夠進一步獲得它的哪些信息。
使用systracer,在打開進程先後分別takeshot,對比先後兩張快照課獲得進程有哪些行爲。
此次實驗用到的軟件比較多,瞭解到了不少監聽電腦的程序,這對我來講仍是比較好奇的,整體來說這些軟件對咱們本身電腦的安全來講仍是頗有幫助的。關於查實驗時的問題,我會進一步注意。盡最大努力去學,進可能弄懂更多的問題,能學到更多的東西也覺莫大的寬慰.