20145334赵文豪《网络对抗技术》恶意代码分析

实验内容

schtasks、Sysmon对电脑进行系统检测,并分析。

对恶意软件进行静态分析,直接上传到网上,或者利用peid等软件。

对恶意软件进行动态分析,使用systracer,以及wireshark分析。

实验后回答问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。。

需要监控什么?

用window7自带的schtasks,或者下载Sysmon进行对电脑的监控
系统中各种程序、文件的行为
还需要注意是否会出现权限更改的行为
注册表

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

“VirScan”工具来扫描
TCPview查看系统中的使用TCP连接的进程,看是否有异常
Dependency Walker来分析是否有关于注册表的异常行为等。
systracer进行快照对比。
PEiD查看可疑软件是否加壳。

使用计划任务schtasks。

因为我是win8系统,所以系统是自带schtasks

使用命令C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"在c盘创建文件netstatlog.txt

-创建成功后再对.txt文件进行加工
date /t >> c:\netstatlog.txt、
time /t >> c:\netstatlog.txt、
netstat -bn >> c:\netstatlog.txt三个命令进行修改




利用VirSCAN分析

使用上次实验免杀用到的网站VirSCAN,扫描我上次实验的5334.exe文件

进行文件行为分析

对注册表键值进行了删除还有创建事件对象的行为

PE Explorer分析

下图可以看出头文件的指向操作信息
查看一下这个程序都调用了哪些dll文件

PEiD

PEiD是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳。 一般正常的软件是不会加壳的吧,而恶意代码为了伪装自己,其中一种常用方式就是加壳,通过加壳来达到不被杀软察觉的目的。

使用sysmon:

sysmon已启动,记得设置版本号为3.10

分析sysmon的日志

Dependency Walker

老师啊,本周实验的内容实在太多了,,哈哈,能不能这次给个五分!!谢谢啦!!

posted @ 2017-04-04 13:49  20145334赵文豪  阅读(149)  评论(0编辑  收藏  举报