20174303刘金晖 Exp4 恶意代码分析
时间:2020-04-15
本文章向大家介绍20174303刘金晖 Exp4 恶意代码分析,主要包括20174303刘金晖 Exp4 恶意代码分析使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
实验内容
任务一:系统运行监控
1.使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
- 输入 schtasks /create /TN netstat-4303 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > D:\netstat-4303.txt" 指令创建计划任务 netstat4303
- 新建一个文本文件以netstat-4303.bat 命名,输入以下内容:
date /t >> c:\netstat20174303.txt
time /t >> c:\netstat20174303.txt
netstat -bn >> c:\netstat20174303.txt
- 打开任务计划程序,可以看到创建的任务:
修改编辑计划任务
- 一天后
- 用Excel分析数据:在Excel中打开
数据
->导入数据
->分隔符号
,下一步中标记所有分隔符号
- 对数据进行统计学分析
- 首先选中我们要分析的列
- 点击上方“插入”->“数据透视图”
- 默认选择在一个新工作表中生成
- 将该字段拖动到下方的“轴字段”和“数值”两个区域中
2.sysmon工具监控系统
- 在官网下载sysmon工具,并设置配置文件
<Sysmon schemaversion="10.42"> <!-- Capture all hashes --> <HashAlgorithms>*</HashAlgorithms> <EventFiltering> <!-- Log all drivers except if the signature --> <!-- contains Microsoft or Windows --> <DriverLoad onmatch="exclude"> <Signature condition="contains">microsoft</Signature> <Signature condition="contains">windows</Signature> </DriverLoad> <ProcessCreate onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <Image condition="end with">iexplorer.exe</Image> </ProcessCreate> <NetworkConnect onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <Image condition="end with">iexplorer.exe</Image> <SourcePort condition="is">137</SourcePort> <SourceIp condition="is">127.0.0.1</SourceIp> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</TargetImage> <TargetImage condition="end with">svchost.exe</TargetImage> <TargetImage condition="end with">winlogon.exe</TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>
- 以管理员身份运行命令行界面,进入sysmon所在目录,输入 Sysmon64.exe -i sysmon.xml
选择agree
安装成功
- 进入事件查看器,打开【应用程序和服务日志】—>【Microsoft】—>【Sysmon】—>【Operational】,查看进程信息。
任务二:恶意软件分析
1.静态分析
1.1文件扫描(VirusTotal工具)
- 对实验三生成的文件进行扫描
- 查看详细信息
1.2文件格式识别(PEID 工具)
PEiD (PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过 470 种 PE 文档的加壳类型和签名
- 对实验三生成的文件进行检测
1.3使用PE explorer进行外壳检测
PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。
- 打开实验三产生的文件:
- 查看详细信息
- 反汇编
- 查看dll库
2.动态分析
2.1wireshark分析
- msf反弹连接并执行dir指令,捕获大量tcp包
- ping时产生icmp包
2.2快照比对(SysTracer)
- 下载安装,选择相应端口
原文地址:https://www.cnblogs.com/4303ljh/p/12703760.html
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 数据离散化及其KMeans算法实现的理解
- [tensorflow损失函数系列]sparse_softmax_cross_entropy_with_logits
- 怎样将Anaconda设置为国内的镜像
- Python实现KMeans算法
- Python面向对象编程
- HTML和CSS常见问题整理
- Nginx Linux详细安装部署教程
- Linux基础知识(1)
- web 应用常见安全漏洞一览
- Web文件上传方法总结大全
- [tensorflow损失函数系列]weighted_cross_entropy_with_logits
- python set模块
- Tkinter Checkbutton
- RESTFUL API
- HTTP使用BASIC认证的原理及实现方法