码迷,mamicode.com
首页 > 其他好文 > 详细

20155331《网络对抗技术》Exp4:恶意代码分析

时间:2018-04-18 01:02:51      阅读:171      评论:0      收藏:0      [点我收藏+]

标签:输入   bubuko   检测   命令行   .com   exce   扫描   nat   bat   

20155331《网络对抗技术》Exp4:恶意代码分析

实验过程

计划任务监控

在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下:

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

技术分享图片

以管理员身份打开命令行,输入schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "c:\netstat.bat"指令创建一个任务。
技术分享图片

设置任务里的操作:
技术分享图片

技术分享图片

检测完成:
技术分享图片

sysmon工具监控

下载老师发到群里的文件~首先对sysmon进行配置,在C盘下面建立Sysmoncfg.txt,用来存储安装指令,指令如下:

<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
 <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</   Signature>
<Signature condition="contains">windows</ Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</  TargetImage>
<TargetImage condition="end with">svchost.exe</   TargetImage>
<TargetImage condition="end with">winlogon.exe</  TargetImage>
<SourceImage condition="end   with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>

进入安装文件夹底下 输入命令Sysmon.exe -i C:\Sysmoncfg.txt 进行安装。.然后再更新一下。
技术分享图片

启动软件之后,便可以到事件查看器里查看相应的日志
技术分享图片

在下方打开详细信息的友好视图,可以查看程序名、使用时间、目的ip、使用端口、通信协议类型等等信息。从事件1,事件2,事件3,和事件5都有记录,例:
技术分享图片

systracer注册表分析

首先在网页上或是在一些软件商城中都可下载
安装很简单,之后捕获快照

1、首先在没有任何操作下,先对电脑进行捕捉快照。

2、在再电脑上放置后门文件对电脑进行捕捉快照。

3、将kali和后门文件回连后进行捕捉快照。
技术分享图片

技术分享图片

PEiD分析

PEiD是一个常用的的查壳工具,PEID下载网址,可以分析后门程序是否加了壳
技术分享图片

Process Monitor分析

打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序155331.exe,用进程树就能找到运行的后门155331.exe.
技术分享图片

Process Explorer分析

打开Process Explorer,运行后门程序155331.exe,在Process栏可以找到155331.exe
技术分享图片

双击后门程序155331.exe那一行,点击不同的页标签可以查看不同的信息:
TCP/IP页签有程序的连接方式、回连IP、端口等信息。
技术分享图片
Performance页签有程序的CPU、I/O、Handles等相关信息
技术分享图片
Strings页签有扫描出来的字符串,有些有意义,有些无意义。
技术分享图片

实验体会:

这个实验感觉还是挺麻烦的,要装的东西太多,中间也出了一些差错,但总算是完成了。然后就是这次的恶意代码分析,能够知道恶意代码是很普遍的存在于我们的电脑中,因此我们应该学会分析恶意代码,掌握这项技能。

20155331《网络对抗技术》Exp4:恶意代码分析

标签:输入   bubuko   检测   命令行   .com   exce   扫描   nat   bat   

原文地址:https://www.cnblogs.com/dd1174751354/p/8870903.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!