20154307《網絡對抗》Exp4 惡意代碼分析
20154307《網絡對抗》Exp4 惡意代碼分析
1、基礎問題回答
(1)若是在工做中懷疑一臺主機上有惡意代碼,但只是猜測,全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些,用什麼方法來監控。shell
軟件有不少瀏覽器
能夠用schtasks指令設置一個計劃任務,每隔一段時間記錄聯網狀況,端口狀況,註冊表狀況。安全
用sysmon,配置好想記錄事件的文件,而後查看相應的事件。網絡
有一些殺毒軟件也能分析惡意軟件的行爲工具
(2)若是已經肯定是某個程序或進程有問題,你有什麼工具能夠進一步獲得它的哪些信息。命令行
用systracer查看註冊表、文件、端口的變化狀況,還有能夠用wireshark抓包分析,可獲取ip、端口等狀況。設計
2、實踐內容
一、使用schtasks指令監控系統運行
首先在c盤建立一個netstatlog.txt的文本文件,在其中輸入以下內容:
日誌
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
而後再把文件格式改成.bat,大概是這個樣子。。。。
excel
而後打開命令行輸入schtasks /create /TN netstat /sc MINUTE /MO (你須要的時間) /TR "c:\netstatlog.bat",建立一個每一個多少分鐘記錄互聯網狀況的記錄。(我是用了一分鐘的。。)code
若是發現運行後不能記錄到C盤的netstatlog.txt文件中,能夠進入控制面板->系統安全->管理工具->任務計劃程序,找到netstat程序查看其屬性,而後在常規中給使用最高運行權限打上勾。。。。。
我在作的時候,一直髮現只能運行一次,後面就運行不了了。。。。很悲劇,折騰了我兩節課,後來才發現。。。。。。
(心中一萬頭草泥馬在奔騰。。。。)
好了,找到netstatlog.txt文件,打開看其中的內容。。
這麼看,咱們是很難分析的,參考了以前學長學姐的處理辦法,把他放到了excel裏,處理數據後作了幾張柱狀圖。
這是內部地址的統計圖:
127.0.0.1訪問的最多,由於這是回送地址嘛。。。
這是外部地址的統計圖:
發現112.13.64.14訪問是最多的。。
這是運行程序的柱狀統計圖:
uc瀏覽器使用最多,固然了,我一直在查資料。。。。。
二、使用sysmon工具監控系統運行
這是老師上課說的一種方法,碼雲中也給出了配置文件的代碼
在c盤建立一個Sysmoncfg.txt文件,而後再文件中輸入老師上課給出的代碼
配置好文件後用Sysmon.exe -i C:\Sysmoncfg.txt進行安裝。。。
安裝以後,在事件查看器中看相關的日誌。。。
這是我打開優酷的事件。。。。。事件1(Process Create)
事件2(A process changed a file creation time)這是uc瀏覽器對文件的建立時間進行了更改
事件3(Network connection)應該是愛奇藝運行時建立的事件。
然鵝,並無找到什麼可疑的
以後我把配置文件中端口改成80和443,也沒有找到能夠程序。。。
三、使用VirusTotal分析惡意軟件
我用以前的veil生成的惡意程序,放入https://www.virustotal.com/ 中進行分析
然而這個不是很能看懂。。。。
四、使用systracer工具分析惡意軟件
我用systracer創建了3個快照,分別是無毒的時候,回連的時候,還有在kali機上錄音的快照。
對比回連之後能夠發現,多了4307111.exe文件,這是我植入的惡意軟件,ip地址192.168.120.129正是kali的地址。
我把這個可執行文件放在桌面上了。。。。
這是我在執行監聽之後,快照中找的4307111的註冊表,能夠看出,註冊表也被進行了修改
四、使用wireshark分析惡意軟件回連狀況
回連之後,用wireshark能夠發現三次握手,想起了大二上的計網。。。。。
圖中能夠看到與4307鏈接的端口號是50293,同時也能看到攻擊與被攻擊的ip地址。
五、使用Process Monitor分析惡意軟件
這也是我用以前的惡意程序,調用了win的cmd。。
能夠找到兩個端口號,和wireshark結果同樣。。
同時還看到了kali的IP地址(由於前半部分在寢室作的,這半部分在圖書館作的,kali的ip不同,因此我從新生成了一個惡意程序)
六、使用PEiD分析惡意軟件
使用peid分析惡意程序
查看進程,能夠看到惡意程序,我回連後,用了shell,下面的cmd應該就是我控制win打開的cmd
實驗總結
此次的實驗仍是很是有用的,咱們能夠經過本身的手段去檢查計算機的異常行爲和惡意行爲,當同時因爲自身的能力不足,在分析的時候也遇到了一些困難,這是我意識到了我應該提高個人知識了。相比於前幾回實驗,此次實驗操做上難度也降低了,可是也很枯燥,以前作的都是網絡攻防中攻的部分,此次到防了,防範、防守,可是,只有攻守兼備,才能具有成爲一名合格的網絡高手的資格。
- 1. 2018-2019 網絡對抗技術 20165231 Exp4 惡意代碼分析
- 2. 網絡對抗 Exp4 惡意代碼分析 20154311 王卓然
- 3. 20155207 《網絡對抗》exp4 惡意代碼分析 學習總結
- 4. 20155308《網絡對抗》Exp4 惡意代碼分析
- 5. 20145215《網絡對抗》Exp4 惡意代碼分析
- 6. 網絡對抗 Exp4 惡意代碼分析 20154321 何思影
- 7. 20154309 【網絡對抗技術】Exp4: 惡意代碼分析
- 8. 20145317《網絡對抗》Exp4 惡意代碼分析
- 9. 20155333 《網絡對抗》Exp4 惡意代碼分析
- 10. 2018-2019 20165237網絡對抗 Exp4 惡意代碼分析
- 更多相關文章...
- • Markdown 代碼 - Markdown 教程
- • Eclipse 代碼模板 - Eclipse 教程
- • IntelliJ IDEA代碼格式化設置
- • 互聯網組織的未來:剖析GitHub員工的任性之源
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. vs2019運行opencv圖片顯示代碼時,窗口亂碼
- 2. app自動化 - 元素定位不到?別慌,看完你就能解決
- 3. 在Win8下用cisco ××× Client連接時報Reason 422錯誤的解決方法
- 4. eclipse快速補全代碼
- 5. Eclipse中Java/Html/Css/Jsp/JavaScript等代碼的格式化
- 6. idea+spring boot +mabitys(wanglezapin)+mysql (1)
- 7. 勒索病毒發生變種 新文件名將帶有「.UIWIX」後綴
- 8. 【原創】Python 源文件編碼解讀
- 9. iOS9企業部署分發問題深入瞭解與解決
- 10. 安裝pytorch報錯CondaHTTPError:******
- 1. 2018-2019 網絡對抗技術 20165231 Exp4 惡意代碼分析
- 2. 網絡對抗 Exp4 惡意代碼分析 20154311 王卓然
- 3. 20155207 《網絡對抗》exp4 惡意代碼分析 學習總結
- 4. 20155308《網絡對抗》Exp4 惡意代碼分析
- 5. 20145215《網絡對抗》Exp4 惡意代碼分析
- 6. 網絡對抗 Exp4 惡意代碼分析 20154321 何思影
- 7. 20154309 【網絡對抗技術】Exp4: 惡意代碼分析
- 8. 20145317《網絡對抗》Exp4 惡意代碼分析
- 9. 20155333 《網絡對抗》Exp4 惡意代碼分析
- 10. 2018-2019 20165237網絡對抗 Exp4 惡意代碼分析