20145315何佳蕾《网络攻防》恶意代码分析
报告内容
1.实验后回答问题
(1)总结一下监控一个系统通常需要监控什么、用什么来监控。
- 监控联网信息,监控链接了哪些ip,监控注册表信息,监控文件等
- 可以用sysinternals里的sysmon工具进行监控,可以对比快照
(2)如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程、恶意代码相关文件。
- 用sysmon工具进行监控,观察日志文件,监控联网信息,注册表信息,从中发现不正常的可能属于恶意代码的行为,再找到恶意代码对应的进程和文件。
2.实验总结与体会
- 恶意代码虽然可以免杀,但是它还是会留下痕迹,可以被发现和清理。
- 要在自己电脑上进行监控,以便及时发现恶意代码。
- 对于不信任的应用,可以在运行前后保存快照,通过分析它的行为来判断它是否是恶意的。
3.实践过程记录
(1)动态分析观察快照前后对比
-
使用systracer对靶机保存快照1
-
快照1
-
在靶机使用后门链接攻击机
-
再次保存快照2
-
对比
-
攻击机抓取靶机截图
-
再次保存快照3
-
抓取靶机截屏时的对比
-
打开wireshark抓包分析
-
攻击机开启靶机摄像头
-
再次保存快照4
-
wireshark
(2)使用任务计划,记录电脑有哪些程序联网
(3)sysmon监控
- 设置并打开sysmon
- 查看日志文件