标签:重点 打开 计划任务 设计 SM ref 自己的 日志 ice
(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
参考:schtask与sysmon应用指导
实际日志的分析还需要发挥下自己的创造力,结合以前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理,这就得大家会什么用什么了。
分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
(3)读取、添加、删除了哪些注册表项
(4)读取、添加、删除了哪些文件
(5)连接了哪些外部IP,传输了什么数据(抓包分析)
用sysmon,配置好想记录事件的文件,然后查看相应的事件。
在C盘根目录下建立一个netstatlog.bat
文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
建立这个windows批处理文件
netstatlog.bat文件的作用是将记录的联网结果按格式输出到相同目录下的netstatlog.txt文件中。
用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个任务,记录每隔两分钟计算机的联网情况。
创建任务成功就一直盯着txt文件,列出部分活动链接截图
两分钟一次的检查,时间截图
配置文件,使用老师提供的配置文件模板,简单修改,把微信、360浏览器、QQ等放进了白名单,保存在了c盘。
配置好文件之后,要先使用Sysmon.exe -i C:\Sysmoncfg.txt
指令对sysmon进行安装:
启动之后,便可以到事件查看器里查看相应的日志:
事件1(5337后门程序):
事件2(360):
事件3(WPS office):
事件5(conhost):
目前只找到了事件1、2、3、5,并没有发现事件4;
使用上一次的网站扫描,在virscan网站上查看上次实验所做的后门软件的文件行为分析:
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。 PEiD有三种扫描模式:正常扫描模式、深度扫描模式、核心扫描模式
使用PEiD查看是否加壳
在正常情况下,我们在win7虚拟机下快照保存为Snapshot #1;
Kali生成相应的后门,将文件通过ncat传到win7虚拟机下后快照保存为Snapshot #3;
Kali开启msf监听,在win7下运行后门程序后快照保存为Snapshot #4;
Kali对win7虚拟机进行截图后,在win7下快照保存为Snapshot #5;
安装到目标机时
更改了pagefile.sys
和netstatlog.bat
注册表发生了变化
新增了应用
删除了应用文件
新增了注册表
标签:重点 打开 计划任务 设计 SM ref 自己的 日志 ice
原文地址:https://www.cnblogs.com/Twe1vE/p/8933544.html