20155218 《網絡對抗技術》 MAL_惡意代碼分析
阿新 • • 發佈:2018-04-14
內容 ins com 技術 shell 一些記錄 地址 行修改 問題
20155218 《網絡對抗技術》 MAL_惡意代碼分析
實驗內容:
1、使用schtasks指令監控系統運行
1、在C盤下新建一個文本文檔,輸入一下內容後,更名為netstatlog.bat
date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt
2、以管理員身份運行powershell或者cmd,並輸入指令
schtasks /create /TN netstat /sc MINUTE /MO 2 /ru "System" /TR "d:\netstatlog.bat"
3、在netstatlog.txt中就可以看到一些記錄
2018/04/13 周五 17:49 請求的操作需要提升。 2018/04/13 周五 17:49 請求的操作需要提升。 2018/04/13 周五 17:51 活動連接 協議 本地地址 外部地址 狀態 2018/04/13 周五 17:52 活動連接 協議 本地地址 外部地址 狀態 TCP 192.168.1.107:49461 180.163.251.163:80 SYN_SENT [SoftupNotify.exe] TCP 192.168.1.107:49462 106.120.160.155:80 SYN_SENT [360tray.exe] TCP 192.168.1.107:49463 106.120.160.155:80 SYN_SENT [360tray.exe] 2018/04/13 周五 17:53 活動連接 協議 本地地址 外部地址 狀態 TCP 192.168.1.107:49479 180.163.251.163:80 SYN_SENT [360tray.exe] 2018/04/13 周五 17:54 活動連接 協議 本地地址 外部地址 狀態 TCP 192.168.1.107:49482 122.193.207.44:80 SYN_SENT [DgService.exe] TCP 192.168.1.107:49483 210.52.217.139:80 SYN_SENT [360tray.exe] TCP 192.168.1.107:49484 210.52.217.139:80 SYN_SENT [360tray.exe] TCP 192.168.1.107:49485 210.52.217.139:80 SYN_SENT [360tray.exe] 2018/04/13 周五 17:55
- 4、遇到的問題:
(1)
程序無法執行,原因就在於我的運行條件中的設置,需要使用電源才能執行,而我正好沒接電源。
2、使用sysmon工具監控系統運行
- 1、 sysmon微軟Sysinternals套件中的一個工具,要使用sysmon工具先要配置文件
<Sysmon schemaversion="3.10"> <!-- Capture all hashes --> <HashAlgorithms>*</HashAlgorithms> <EventFiltering> <!-- Log all drivers except if the signature --> <!-- contains Microsoft or Windows --> <DriverLoad onmatch="exclude"> <Signature condition="contains">microsoft</Signature> <Signature condition="contains">windows</Signature> </DriverLoad> <NetworkConnect onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <Image condition="end with">iexplorer.exe</Image> <SourcePort condition="is">137</SourcePort> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</TargetImage> <TargetImage condition="end with">svchost.exe</TargetImage> <TargetImage condition="end with">winlogon.exe</TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>
- 2、配置好文件之後,要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令對sysmon進行安裝:
出現小錯誤,但是但是按照提示做就可以了; - 3、在事件查看器裏查看相應的日誌:
- 4、對Sysmoncfg.txt配置文件進行修改,重點監視80和443端口的聯網情況
<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">SogouExplorer.exe</Image>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
20155218 《網絡對抗技術》 MAL_惡意代碼分析