2. 程式人生 > >20155233 《網絡對抗》Exp4 惡意代碼分析

20155233 《網絡對抗》Exp4 惡意代碼分析

阿新 發佈:2018-04-13
使用 strace 指令 實驗 運行 分鐘 mage 命令提示符 sha

使用schtasks指令監控系統運行

  1. 先在C盤目錄下建立一個netstatlog.bat文件,用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中,netstatlog.bat內容為:

    date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
  2. 打開Windows下命令提示符,輸入指令schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat"指令創建一個每隔五分鐘記錄計算機聯網情況的任務
    技術分享圖片
  3. 查看netstatlog.txt文件,對可疑進程進行分析:
  • 第一次查看:進程很少,沒有太多疑點
    技術分享圖片
  • 分析結果:explorer.exe:桌面進程
  • 第二次查看:進行了QQ登錄,出現很多TCP連接
    技術分享圖片
  • 分析結果:TheWorld.exe:世界之窗瀏覽器進程;不知名IP:121.195.187.36北京海澱教育網,211.159.235.58騰訊集體;所以不存在可疑進程
  • 第三次查看:打開了後門軟件
    技術分享圖片
    技術分享圖片
  • 分析結果:vmware-hostd.exe、vmware-authd.exe、vmware.exe:VMware軟件所需進程;SGtool.exe:搜狗輸入法的加速啟動程序;5233_1.exe:後門軟件,通過TCP傳輸,占用了端口5733,得到了攻擊機IP(192.168.241.134)

使用sysmon工具監控系統運行

  1. 建立名為Sysmoncfg.txt,下載sysmon工具,將老師所給代碼寫入txt,並將txt放入sysmon.exe同目錄下;
  2. 輸入命令(管理員權限打開)sysmon.exe -i Sysmoncfg.txt安裝配置sysmon;
    技術分享圖片
  3. 觀察事件查看器:
  • 在打開事件查看器,在應用程序和服務日誌\Microsoft\Sysmon\Operational中觀察事件
    技術分享圖片
    4.開啟後門程序,觀察事件查看器:
    技術分享圖片
    技術分享圖片
  • 分析結果:通過上圖可以看出,win10通過cmd命令行打開了5233_1.exe的後門程序,IP地址為192.168.241.134的主機通過tcp協議訪問了5733端口

使用virscan分析惡意軟件

1.在virscan網站查看上次後門軟件的文件行為分析:
技術分享圖片

  • 分析結果:可以看出其啟動回連主機的部分IP和端口號,以及所加殼或編譯器信息,註冊表行為。

使用systracer工具分析惡意軟件

  • 使用該工具建立3個快照,分別是沒有惡意軟件時、後門植入回連成功時、惡意軟件執行dir命令進行查看時
    技術分享圖片
  • 將後門回連後發現多了5233_1.exe文件,並發現其通過TCP連接,以及其端口號和連接機IP
    技術分享圖片
  • 執行dir命令後,和回連成功時並沒有多大區別。(PS.想截個屏,然後對比分析,結果軟件需要註冊,沒法使用,參考LXM學長博客,知道進行截屏操作後,註冊表信息會有更改)

使用wireshark分析惡意軟件回連情況

  1. 在後門程序執行回連操作時使用netstat查看TCP連接狀況,可以看到5233_1.exe程序所建立的TCP連接:
    技術分享圖片
  2. 同時使用wireshark進行抓包,可以看到後門程序首先通過TCP三次握手建立了連接,之後進行了數據傳輸。
    技術分享圖片
    帶有PSHACK的包傳送的便是執行相關操作指令時所傳輸的數據包。

使用ProcessMonitor分析惡意軟件

  1. 下載安裝ProcessMonitor工具,回連接通後門程序,觀察ProcessMonitor中進程的動態
    技術分享圖片
    技術分享圖片
    • 分析結果:

實驗後回答問題

  1. 如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。
  • 使用windows自帶的schtasks創建相應的計劃任務,指定時間去記錄主機的網絡連接情況,端口開放狀態,註冊表信息等;
  • 用相應的工具分析記錄的文件,通過查看日誌,行為分析,查證註冊表信息等方式證明是否為惡意代碼。
  1. 如果已經確定是某個程序或進程有問題,你有什麽工具可以進一步得到它的哪些信息。
  • 使用wireshark進行抓包,查看其進行了那些網絡活動;
  • 使用日誌查看器查看該程序或進程的工作日誌,分析其工作信息。

實驗總結與體會

這次實驗,在於使用不同的工具分析系統中程序/進程,通過對其行為的分析來證實該程序/進程是否為惡意代碼,分析的方法有好多,像抓包、查看日誌、統計網絡使用情況等,我覺得更重要的是我們在分析時要註重對比,通過對比,找到一段時間內使用不正常的程序/j進程,再進行行為分析,確定是否是惡意代碼;其次,要養成一個很好的上網習慣,盡量去避免惡意代碼的入侵,保護我們的隱私和數據。

20155233 《網絡對抗》Exp4 惡意代碼分析

相關推薦

2018-2019 20165208 對抗 Exp4 惡意分析

簽名 svc ESS 簡單 參考 cpu aps odi download 目錄 2018-2019 20165208 網絡對抗 Exp4 惡意代碼分析 實驗內容 系統運行監控(2分)

20155233對抗Exp4 惡意分析

使用 strace 指令 實驗 運行 分鐘 mage 命令提示符 sha 使用schtasks指令監控系統運行 先在C盤目錄下建立一個netstatlog.bat文件,用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中,netstatlog.bat內容為:

2017-2018-2 《對抗技術》 20155322 Exp4 惡意分析

msfvenom 密鑰對 想要 ipv 執行 接收 .net 數據 ref [-= 博客目錄 =-] 1-實踐目標 1.1-實踐介紹 1.2-實踐內容 1.3-實踐要求 2-實踐過程 2.1-Mac下網絡監控 2.2-Windows下網絡監控 2.3-Mac下惡意

20155304《對抗Exp4 惡意分析

tar capture 有趣 ron 惡意軟件 情況 image linux info 20155304《網絡對抗》Exp4 惡意代碼分析 實踐內容 1.系統運行監控 1.1使用schtasks指令監控系統運行 我們在C盤根目錄下建立一個netstatlog.bat的文本文

2018-2019-2 對抗技術 20165303 Exp4 惡意分析

直觀 註冊表 amp 能力 網絡連接 XML image strac 不成功 實踐目標 1.1是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 1.2是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,sys

2018-2019-2 《對抗技術》Exp4 惡意分析 Week6 20165311

9.png network 註冊 錄音 電源 ati 文本處理 pushd 端口開放 2018-2019 20165311 網絡對抗 Exp4 惡意代碼分析 實驗內容 系統運行監控(2分) 惡意軟件分析(1.5分) 報告評分(1分) 基礎問題回答

2018-2019-2 20165330《對抗技術》Exp4 惡意分析

h+ port cap 輕量 批處理文件 技術 trac 雙擊 數據流 目錄 基礎問題 相關知識 實驗目的 實驗內容 實驗步驟 實驗過程中遇到的問題 實驗總結與體會 實驗目的 監控你自己系統的運行狀態,看有沒有可疑的程序在運行 分析一個惡意軟件,就分析Exp2或Ex

2018-2019-2 對抗技術 20165206 Exp4 惡意分析

利用 cep 不能 圖片 png 數字 sta 屬性 指導 - 2018-2019-2 網絡對抗技術 20165206 Exp4 惡意代碼分析 - 實驗任務 1系統運行監控(2分) (1)使用如計劃任務,每隔一分鐘記錄自己的電腦有哪些程序在聯網,連接的外部IP是哪裏。運行一

2018-2019-2 20162318《對抗技術》Exp4 惡意分析

還需要 網絡 過濾 連接 window rom 註冊 trac 依賴 一、實驗目標 監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,systracer套件

2018-2019-2 20165215《對抗技術》Exp4 惡意分析

設置 系統管理 功能 www shel 執行 名稱 文件資源管理器 文件的 目錄 實踐目標 實踐內容 基礎問題回答 實驗步驟 使用schtasks指令監控系

20164317《對抗技術》Exp4 惡意分析

調試工具 internal 文件 系統監控 smon jad com 網絡 target 1.實踐目標 1.是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 2.是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinter

2018-2019-2 對抗技術 20165210 Exp4 惡意分析

興趣 成了 詳細 使用 計時 hand 方式 不知道 退出 2018-2019-2 網絡對抗技術 20165210 Exp4 惡意代碼分析 一、實驗目標 首先是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 其次是分析一個惡意軟件,就分析Exp2或Exp3中生成後門

2015306 白皎 《攻防》Exp4 惡意分析

minute image 查看 等等 同時 odi 當前 net 技術 2015306 白皎 《網絡攻防》Exp4 惡意代碼分析 netstat 【Mac、Linux、Win】 sysinteral 【MS】:1 2 3 一、系統監控——Windows計劃任務schta

20155334 《攻防》Exp4 惡意分析

計算 log SM 軟件加殼 以及 連接 src \n 三次握手 《網絡攻防》Exp4 惡意代碼分析 一、實驗問題回答 如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。 可以使用工

20154322 楊欽涵 Exp4 惡意分析

reat 鏈接器 signature .org filter 數據包 百度一 地址 alt Exp4 惡意代碼分析 Exp4 惡意代碼分析 一、基礎問題回答 (1)如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的

20155301 Exp4 惡意分析

數據 所有 對象 方法 病毒 chrome int cer 程序 20155301 Exp4 惡意代碼分析 實踐目標 (1) 是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 (2) 是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令

Exp4 惡意分析

src tst com 退出 動向 roc version kill 進程 Exp4 惡意代碼分析 一、基礎問題回答 如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。 (1)我們可以

20155209林虹宇Exp4 惡意分析

src 方法 shark 配置 查找 scan moni 網信 計劃 Exp4 惡意代碼分析 系統運行監控 使用schtasks指令監控系統運行 新建一個txt文件,然後將txt文件另存為一個bat格式文件 在bat格式文件裏輸入以下信息 然後使用管理員權限打開cmd

20164301 Exp4 惡意分析

tle mil 驅動 分鐘 運行 diff 清除 體會 準備 Exp4 惡意代碼分析 實驗目標 1.是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 2.是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysintern

20164322韓玉婷 -----EXP4 惡意分析

計算 exc ldl 。。 應用程序 時間 解壓 不能 水平 1.實踐目標 1.1是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 1.2是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,systr