20164318 毛瀚逸 Exp4 恶意代码分析

时间：2019-04-07 14:31:53 阅读：166 评论：0 收藏：0 [点我收藏+]

标签：hal attr 电影端口号内容添加 src 报告 drive

---恢复内容开始---

1 关键内容

系统运行监控

（1）使用计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果。

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

恶意软件分析

分析后门软件

（3）读取、添加、删除了哪些注册表项

（4）读取、添加、删除了哪些文件

（5）连接了哪些外部IP，传输了什么数据

2 系统运行监控

实验在本机中进行。设置任务计划，计划任务名为20164318，每隔1分钟运行，结果输出至C盘根目录.

　schtasks /create /TN 20164318 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > e:\20164318.txt"

技术图片

同时创建一个bat文件，用于记录时间。

技术图片

（txt直接改后缀为bat）

然后直接在搜索里面打开计划任务程序，找到我们的20164318计划

技术图片

勾选上最高权限运行

技术图片

我电脑常年接电，我寻思着不用管电池的问题

然后把脚本选定为之前的那个bat

技术图片

这个地方忘记改文件后缀了，一直打开txt来着。。。

运行一段时间后得到结果

技术图片

经过和任务管理器对比，发现基本上就是网易云啊。。。wps啊等我在使用的软件，好像没有什么特别的东西。

安装sysmon 技术图片

并且配置好

<Sysmon schemaversion="4.20">  <HashAlgorithms>*</HashAlgorithms> <EventFiltering>   <DriverLoad onmatch="exclude"> <Signature condition="contains">microsoft</Signature> <Signature condition="contains">windows</Signature> </DriverLoad> <NetworkConnect onmatch="exclude"> <Image condition="end with">iexplorer.exe</Image> <SourcePort condition="is">137</SourcePort> <SourceIp condition="is">127.0.0.1</SourceIp> </NetworkConnect> <NetworkConnect onmatch="include"> <DestinationPort condition="is">5325</DestinationPort> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</TargetImage> <TargetImage condition="end with">svchost.exe</TargetImage> <TargetImage condition="end with">winlogon.exe</TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>