安裝配置sysinternals裏的sysmon工具,設置合理的配置文件,監控本身主機的重點事可疑行爲。windows
分析軟件的其任意操做網絡
若是在工做中懷疑一臺主機上有惡意代碼,但只是猜測,全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些,用什麼方法來監控。tcp
答:個惡意代碼最終是要進行數據傳輸的,一旦進行了網絡數據的傳輸,那麼必定會留下日誌。這些日誌,是能夠被咱們所監視到。若是已經肯定是某個程序或進程有問題,你有什麼工具能夠進一步獲得它的哪些信息。
答:systracer能夠用來作行爲的差別分析動態分析註冊表修改狀況,分析緣由,這樣作的目的,查看文件修改狀況和端口狀況並分析緣由;peid能夠用來看這個軟件是否加殼等;procmon和processexplore均可以用來分析這個軟件的內容、鏈接等等工具
##### 1. 系統運行監控命令行
爲實現每2min記錄下有哪些程序在鏈接網絡,輸入如下命令:線程
schtasks /create /TN 20154328netstat /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > c:\netstatlog.txt"釋義:TN是TaskName的縮寫,咱們建立的計劃任務名是20154301netstat;sc表示計時方式,咱們以分鐘計時填MINUTE;TR=Task Run,要運行的指令是 netstat -bn,b表示顯示可執行文件名,n表示以數字來顯示IP和端口,MO 表示隔兩分鐘進行一次。
設計
在C盤要目錄下建一個文件c:\netstatlog.bat(先把後綴設爲txt,保存好內容後把後綴改成bat)3d
打開控制面板->任務計劃程序,找到咱們的任務20154328netstat
日誌
雙擊點開,找到操做,點擊全部項裏的屬性選項:excel
能夠對任務進行修改:找到操做選項卡,選擇netstatlog.bat腳本。
修改爲功後,顯示:
能夠看到記錄文件netstatlog.txt中的記錄有了時間:
接下來咱們要作的就是等待,等記錄項目夠多了再進行分析。
明確監控目標
網絡鏈接、驅動加載、遠程線程建立、進程建立、訪問和結束等sysmon 微軟Sysinternals套件中的一個工具,能夠從碼雲項目的附件裏進行下載,要使用sysmon工具先要配置文件,一開始我直接用的是老師給的配置文件,建立配置文件20154328.txt(注:必定要以管理員身份運行):
配置好文件以後,要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令對sysmon進行安裝:
啓動以後,即可以到事件查看器裏查看相應的日誌,在"運行"窗口輸入eventvwr命令,打開應用程序和服務日誌,根據Microsoft->Windows->Sysmon->Operational路徑找到記錄文件:
將後門程序放入windows主機,在Kali下進行回連操做:
木馬極可能假裝成電腦自帶的explorer.exe進程
以後,我對Sysmoncfg.txt配置文件進行了修改,重點是監視80和443以及4328端口的聯網狀況
4328端口
因爲哈勃關閉了普通用戶進行行爲分析,virscan也調用不了,這裏咱們使用兩個國外的在線沙盤進行分析。
報告能夠看到其啓動回連主機的部分IP地址以及端口號
點擊take snapshot來快照,四個快照:1.惡意軟件啓動回連時;2.惡意軟件執行dir命令進行查看時;3.惡意軟件進行截屏操做時;4.將惡意軟件植入到目標主機中後。
比較一、4,咱們能夠看到不少信息,包括IP及端口
回連時創建tcp鏈接
在後門程序回連時,打開wireshark,進行捕包分析,查看詳細的協議分析發現,後門程序創建了三次握手並回連時進行了基於IP和端口的鏈接
PEiD是一個經常使用的的查殼工具,能夠分析後門程序是否加了殼。
加殼
不加殼
打開Process Explorer,運行後門程序fool20154328.exe,在Process欄能夠找到fool20154328.exe
TCP/IP頁簽有程序的鏈接方式、回連IP、端口等信息。
Performance頁簽有程序的CPU、I/O、Handles等相關信息。