2019-2020-2 20175301李锦然《网络对抗技术》Exp4 恶意代码分析
2019-2020-2 20175301李锦然《网络对抗技术》Exp4 恶意代码分析#
目录
1.实践目标
(1)任务一:监控你自己系统的运行状态,看有没有可疑的程序在运行
(2)任务二:分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件
(3)任务三:假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质
2.基础知识
2.1 恶意代码的概念与分类
定义:
又称恶意软件,指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。
指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
特征:
恶意的目的
本身是计算机程序
通过执行发生作用
分类:
计算机病毒
蠕虫
后门
特洛伊木马
Rootkit
2.2 Sysmon的使用
Sysmon是微软Sysinternals套件中的一个工具。可以监控几乎所有的重要操作。
基本操作可以描述为三步:
确定要监控的目标
写好配置文件
启动sysmon
3.实验步骤
3.1监控系统运行
首先使用指令
schtasks /create /TN netstat5313 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstat5301.txt"创建任务。
其中
TN:Task Name,本例中是20175301netstat
SC: SChedule type,本例中是MINUTE,以分钟来计时
MO: MOdifier
TR: Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口
指的是每一分钟检测一次进程,最后定向到netstat5301.txt文件中。
打开文件可以看到监测的进程(我这电脑都是什么奇怪的进程)
然后在C盘下建一个文件c:\netstatlog.bat,内容为:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
在计算机管理中找到任务
找到任务,点击属性,编辑,参数要清零,常规中设置最高权限运行
稍微过一会儿再来看
把数据使用使用EXCAL汇总
太少了,又等了半个小时
DingTalk很显眼
分析一下数据
[MicrosoftEdgeCP.exe] win10操作系统 150
[nvcontainer.exe] 英伟达显卡 98
[svchost.exe] win10系统文件 54
[baidupinyin.exe] 百度拼音 53
[DingTalk.exe] 钉钉 49
[logitechg_discord.exe]罗技鼠标驱动 49 这个这么高有点奇怪,驱动不需要联网
[SearchUI.exe] 小娜,一个搜索进程 49
WpnService win10自动更新检测 49
[Video.UI.exe] win10视频播放工具 32
[SGTool.exe] 搜狗输入法 11
[EXCEL.EXE] excel 7
[ldnews.exe] 模拟器广告 3
[SDXHelper.exe] office 3
CryptSvc 认证服务 2
DiagTrack win10 1
没发现木马,有点失望
3.2 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
从官网下载sysmon
创建配置文件sysmon20175301.txt
白名单里面加一个谷歌,端口加一个5301
安装
win+X打开事件查看器
用虚拟机运行后门程序打开cmd
可以找到后门程序
其中信息很多,包括端口号,ip地址等
3.3恶意软件分析-静态
1 VirusTotal
简单实用
一段时间没用又多了
2 查壳工具
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470种PE文档的加壳类型和签名。
没壳的找不到,有壳的就行
3.4恶意软件分析-动态
1 sysmon
2 wireshark
使用wireshark抓包
向win发送的dir请求
第二个包中有数据,第三个包ack确认收到
实验中遇到的问题
没问题
问题回答
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
静态分析:没有主体的静态分析有点难,还是靠扫描。
动态分析:schtasks,wireshark不间断监视。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
peid查看壳,用sysmon可以查看该进程创建了哪些日志文件。
原文地址:https://www.cnblogs.com/lijinran/p/12725024.html
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- linux之在centos7中配置java开发环境
- 秒懂java规则表达式框架Aviator2.3.0
- 细品Redis高性能数据结构之SDS
- linux之第一个shell程序
- pyspark之从HDFS上读取文件、从本地读取文件
- spring之使用外部属性文件(连接数据库时使用)
- 【python-leetcode92-翻转链表】反转链表2
- 细品Redis高性能数据结构之hash对象
- pyspark之常用算子
- linux之shell综合例子之定时任务
- spring之配置单例的集合bean,以供多个bean进行引用
- 【python-leetcode25-翻转链表】K 个一组翻转链表
- spring之通过实例工厂方法配置Bean
- 细品redis分布式锁
- 【python-leetcode102-树的宽度遍历】二叉树的层次遍历