摘要：问题 如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。 想监控的有进程联网信息、修改注册表项、开机自启动信息等。 监控方法有设置任务计划，每日定时查看 并记录系统状态；使用wireshark进行实时抓包分析、使 阅读全文

摘要：问题回答 杀软是如何检测出恶意代码的？ 使用特征码检测。特征码就是一类恶意程序中很大概率会有的代码部分，通过检测程序中是否有这部分即可判定是否是恶意程序。 通过行为检测，测试其是否有可疑行为。 通过恶意程序一般有的特征去判断。 免杀是做什么？ 免杀即使用不同方法使得恶意程序不被杀软和防火墙发觉。 免 阅读全文

摘要：问题 (1)例举你能想到的一个后门进入到你系统中的可能方式？ 解压压缩文件时里面含有后门程序。 (2)例举你知道的后门如何启动起来(win及linux)的方式？ 通过捆绑其他文件、设置开机自启动、设置定时任务、自己误点等。 (3)Meterpreter有哪些给你映像深刻的功能？ 有大量控制被控主机的 阅读全文

摘要：第一次尝试 首先，安装相关软件。 设置堆栈可执行及关闭地址随机化。 构造shellcode 先注入一段攻击buf，确定返回地址的位置 注入攻击buf时由于权限不足，无法进行。 更改文件权限后成功。 打开另一个终端进行调试 计算出返回地址 输入后运行 该问题尚未解决，还在调试。 更新 由于上次实验忘记 阅读全文