Exp4 恶意代码分析

20154331 Exp4 恶意代码分析

实验内容：

1、计划任务监控

在windows下使用计划任务schtacks监控系统运行

这里表示每5分钟监测一次系统运行情况，指令创建一个任务，记录每隔5分钟计算机的联网情况。

创建一个批处理文件，右键编辑添加内容为如下：

打开计划任务，运行20154331netstatlog：

设置任务里的操作：

然后电脑会闪一下，这就表示监测完成，并将记录放在之前弄的netstatlog.txt中。如下图：

有时候监测的时候他会出现这个问题，那么就需要做如下一步：

在属性里把使用最高权限勾上。

还要将下面这个勾给叉掉，不然如果你电脑不插电的话就不能监测运行，很烦。

我之前设置的每隔5分钟检测一次，如下例举了几个时间段：

netstat命令是个监控TCP/IP网络的非常有用的工具，它可以显示路由表、世纪的网络连接以及每个网络接口设备的状态信息。

我这里用了一些命令。我这里用了netstat -n,表示以数字形式显示地址和端口号，我在下面发现了我虚拟机的ip地址和端口。192.168.116.130 4331

下面还有很多命令可以试一试：
-a 显示所有连接和侦听端口。
-b 显示在创建每个连接或侦听端口时涉及的可执行程序。在某些情况下，已知可执行程序承载多个独立的组件，这些情况下，显示创建连接或侦听端口时涉及的组件序列。在此情况下，可执行程序的名称位于底部 [] 中，它调用的组件位于顶部，直至达到 TCP/IP。注意，此选项可能很耗时并且在你没有足够权限时可能失败。
-e 显示以太网统计信息。此选项可以与 -s 选项结合使用。
-f 显示外部地址的完全限定域名(FQDN)。
-n 以数字形式显示地址和端口号。
-o 显示拥有的与每个连接关联的进程 ID。
-p proto 显示 proto 指定的协议的连接；proto可以是下列任何一个: TCP、UDP、TCPv6 或 UDPv6。如果与 -s选项一起用来显示每个协议的统计信息，proto 可以是下列任何一个:IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6。
-q 显示所有连接、侦听端口和绑定的非侦听 TCP 端口。绑定的非侦听端口不一定与活动连接相关联。
-r 显示路由表。
-s 显示每个协议的统计信息。默认情况下，显示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 和 UDPv6 的统计信息;
-p 选项可用于指定默认的子网。
-t 显示当前连接卸载状态。
-x 显示 NetworkDirect 连接、侦听器和共享终结点。
-y 显示所有连接的 TCP 连接模板。无法与其他选项结合使用。

sysmon工具监控

配置xml:

使用sysmon -accepteula –i -n一键安装，再在在命令行下使用sysmon -c 1.xml命令可以对sysmon进行配置指定配置文件