码迷,mamicode.com
首页 > 其他好文 > 详细

20155218 《网络对抗技术》 MAL_恶意代码分析

时间:2018-04-14 11:15:10      阅读:223      评论:0      收藏:0      [点我收藏+]

标签:stat   creat   修改   sha   电源   with   17.1   c盘   drivers   

20155218 《网络对抗技术》 MAL_恶意代码分析

实验内容:

1、使用schtasks指令监控系统运行

  • 1、在C盘下新建一个文本文档,输入一下内容后,更名为netstatlog.bat

    date /t >> c:\netstatlog.txt
    time /t >> c:\netstatlog.txt
    netstat -bn >> c:\netstatlog.txt
  • 2、以管理员身份运行powershell或者cmd,并输入指令

    schtasks /create /TN netstat /sc MINUTE /MO 2 /ru "System" /TR "d:\netstatlog.bat"
  • 3、在netstatlog.txt中就可以看到一些记录

2018/04/13 周五 
17:49
请求的操作需要提升。
2018/04/13 周五 
17:49
请求的操作需要提升。
2018/04/13 周五 
17:51

活动连接

  协议  本地地址          外部地址        状态
2018/04/13 周五 
17:52

活动连接

  协议  本地地址          外部地址        状态
  TCP    192.168.1.107:49461    180.163.251.163:80     SYN_SENT
 [SoftupNotify.exe]
  TCP    192.168.1.107:49462    106.120.160.155:80     SYN_SENT
 [360tray.exe]
  TCP    192.168.1.107:49463    106.120.160.155:80     SYN_SENT
 [360tray.exe]
2018/04/13 周五 
17:53

活动连接

  协议  本地地址          外部地址        状态
  TCP    192.168.1.107:49479    180.163.251.163:80     SYN_SENT
 [360tray.exe]
2018/04/13 周五 
17:54

活动连接

  协议  本地地址          外部地址        状态
  TCP    192.168.1.107:49482    122.193.207.44:80      SYN_SENT
 [DgService.exe]
  TCP    192.168.1.107:49483    210.52.217.139:80      SYN_SENT
 [360tray.exe]
  TCP    192.168.1.107:49484    210.52.217.139:80      SYN_SENT
 [360tray.exe]
  TCP    192.168.1.107:49485    210.52.217.139:80      SYN_SENT
 [360tray.exe]
2018/04/13 周五 
17:55
  • 4、遇到的问题:
    (1)技术分享图片
    程序无法执行,原因就在于我的运行条件中的设置,需要使用电源才能执行,而我正好没接电源。技术分享图片

2、使用sysmon工具监控系统运行

  • 1、 sysmon微软Sysinternals套件中的一个工具,要使用sysmon工具先要配置文件
<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>
  • 2、配置好文件之后,要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令对sysmon进行安装:
    技术分享图片
    出现小错误,但是但是按照提示做就可以了;
  • 3、在事件查看器里查看相应的日志:
    技术分享图片
  • 4、对Sysmoncfg.txt配置文件进行修改,重点监视80和443端口的联网情况
<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">SogouExplorer.exe</Image>
</NetworkConnect>

<NetworkConnect onmatch="include">     
  <DestinationPort condition="is">80</DestinationPort>      
  <DestinationPort condition="is">443</DestinationPort>    
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

20155218 《网络对抗技术》 MAL_恶意代码分析

标签:stat   creat   修改   sha   电源   with   17.1   c盘   drivers   

原文地址:https://www.cnblogs.com/xzh1996/p/8822622.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!