20155328 《网络对抗》实验四恶意代码分析

实践内容及过程记录

一、系统运行监控

1.使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

在windows命令行下输入schtasks /create /TN 20155328netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"，创建任务20155328netstat。

将桌面上建好的netstatlog.bat（由.txt修改而来）复制粘贴到C盘中。

文件内容：

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

进入控制面板中的管理工具，然后进入任务计划程序。找到刚刚创建的20155328netstat，双击，编辑属性中的操作。

确定，完成修改。

打开netstat.txt文件，可以看到已经有了记录。

新建excel，在数据中选择获取外部数据，自文本。

创建完后选择要分析的列，插入数据透视图。

...做这个的时候快要断网了就没继续了。。

2.安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

Step1：确定想监控的目标：网络链接NetworkConnect、文件创建时间FileCreateTime，驱动加载DriverLoad，远程线程创建CreateRemoteThread。

Step2：写配置文件：

NetworkConnect的过滤器事件选项有：

UtcTime, ProcessGuid, ProcessId, Image, User, Protocol, Initiated, SourceIsIpv6, SourceIp, SourceHostname, SourcePort, SourcePortName, DestinationIsIpv6, DestinationIp, DestinationHostname, DestinationPort, DestinationPortName

在这些之中，我选择Image，SourceIP和SourcePort.

FileCreateTime的过滤器事件选项有：

UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime, PreviousCreationUtcTime

在这些之中，我选择Image.

CreateRemoteThread的过滤器事件选项有：

UtcTime, SourceProcessGuid, SourceProcessId, SourceImage, TargetProcessGuid, TargetProcessId, TargetImage, NewThreadId, StartAddress, StartModule, StartFunction

在这些之中，我选择TargetImage,SourceImage。

ProcessCreate的过滤器事件有：

UtcTime, ProcessGuid, ProcessId, Image, CommandLine, CurrentDirectory, User, LogonGuid, LogonId, TerminalSessionId, IntegrityLevel, Hashes, ParentProcessGuid, ParentProcessId, ParentImage, ParentCommandLine

在这些之中，我选择Image。

开始写自己想监控的事件所对应的配置文件。我的配置文件20155328Sysmoncfig.txt如下：