實(shí)踐目標(biāo)

1.1是監(jiān)控你自己系統(tǒng)的運(yùn)行狀態(tài)，看有沒(méi)有可疑的程序在運(yùn)行。

1.2是分析一個(gè)惡意軟件，就分析Exp2或Exp3中生成后門軟件；分析工具盡量使用原生指令或sysinternals,systracer套件。

1.3假定將來(lái)工作中你覺(jué)得自己的主機(jī)有問(wèn)題，就可以用實(shí)驗(yàn)中的這個(gè)思路，先整個(gè)系統(tǒng)監(jiān)控看能不能找到可疑對(duì)象，再對(duì)可疑對(duì)象進(jìn)行進(jìn)一步分析，好確認(rèn)其具體的行為與性質(zhì)。

實(shí)驗(yàn)內(nèi)容

• 一.系統(tǒng)運(yùn)行監(jiān)控（2分）

  （1）使用如計(jì)劃任務(wù)，每隔一分鐘記錄自己的電腦有哪些程序在聯(lián)網(wǎng)，連接的外部IP是哪里。運(yùn)行一段時(shí)間并分析該文件，綜述一下分析結(jié)果。目標(biāo)就是找出所有連網(wǎng)的程序，連了哪里，大約干了什么(不抓包的情況下只能猜)，你覺(jué)得它這么干合適不。如果想進(jìn)一步分析的，可以有針對(duì)性的抓包。

  （2）安裝配置sysinternals里的sysmon工具，設(shè)置合理的配置文件，監(jiān)控自己主機(jī)的重點(diǎn)事可疑行為。

• 二.惡意軟件分析（1.5分）

分析該軟件在(1)啟動(dòng)回連，(2)安裝到目標(biāo)機(jī)(3)及其他任意操作時(shí)（如進(jìn)程遷移或抓屏，重要是你感興趣）。該后門軟件

（3）讀取、添加、刪除了哪些注冊(cè)表項(xiàng)

（4）讀取、添加、刪除了哪些文件

（5）連接了哪些外部IP，傳輸了什么數(shù)據(jù)（抓包分析）

課后問(wèn)題

• （1）如果在工作中懷疑一臺(tái)主機(jī)上有惡意代碼，但只是猜想，所有想監(jiān)控下系統(tǒng)一天天的到底在干些什么。請(qǐng)?jiān)O(shè)計(jì)下你想監(jiān)控的操作有哪些，用什么方法來(lái)監(jiān)控。

首先就是監(jiān)控自己系統(tǒng)中有哪些程序在運(yùn)行，每個(gè)五分鐘或者十分鐘檢查一下系統(tǒng)中有哪些應(yīng)用程序的進(jìn)程，但是這個(gè)時(shí)間間隔也有可能會(huì)錯(cuò)過(guò)一些進(jìn)程，比如說(shuō)每隔一小時(shí)才啟動(dòng)一次的程序，有可能不會(huì)被記錄下來(lái)，要是他啟動(dòng)時(shí)間特別短的話，還有就是監(jiān)控一下遠(yuǎn)程連接的IP地址和自己的IP地址，看一下連接到了哪里，再看一下端口號(hào)，看看是那些應(yīng)用程序在使用端口。

• （2）如果已經(jīng)確定是某個(gè)程序或進(jìn)程有問(wèn)題，你有什么工具可以進(jìn)一步得到它的哪些信息。

1.使用sysmon工具監(jiān)控系統(tǒng) 2.使用VirusTotal分析惡意軟件 3.使用Process Monitor分析惡意軟件Process Monitor 是一款由 Sysinternals 公司開(kāi)發(fā)的包含強(qiáng)大的監(jiān)視和過(guò)濾功能的高級(jí) Windows 監(jiān)視工具，可實(shí)時(shí)顯示文件系統(tǒng)、注冊(cè)表、進(jìn)程/線程的活動(dòng) 4.使用Process Explorer分析惡意軟件Process Explorer是由Sysinternals開(kāi)發(fā)的Windows系統(tǒng)和應(yīng)用程序監(jiān)視工具，目前已并入微軟旗下。不僅結(jié)合了Filemon（文件監(jiān)視器）和Regmon（注冊(cè)表監(jiān)視器）兩個(gè)工具的功能，還增加了多項(xiàng)重要的增強(qiáng)功能。包括穩(wěn)定性和性能改進(jìn)、強(qiáng)大的過(guò)濾選項(xiàng)、修正的進(jìn)程樹(shù)對(duì)話框（增加了進(jìn)程存活時(shí)間圖表）、可根據(jù)點(diǎn)擊位置變換的右擊菜單過(guò)濾條目、集成帶源代碼存儲(chǔ)的堆棧跟蹤對(duì)話框、更快的堆棧跟蹤、可在 64位 Windows 上加載 32位 日志文件的能力、監(jiān)視映像（DLL和內(nèi)核模式驅(qū)動(dòng)程序）加載、系統(tǒng)引導(dǎo)時(shí)記錄所有操作等。5.使用PEiD分析惡意軟件PEiD(PE Identifier)是一款著名的查殼工具，其功能強(qiáng)大，幾乎可以偵測(cè)出所有的殼，其數(shù)量已超過(guò)470 種PE 文檔 的加殼類型和簽名。6.使用systracer分析惡意軟件

實(shí)驗(yàn)過(guò)程與內(nèi)容

實(shí)驗(yàn)一 使用schtasks指令監(jiān)控系統(tǒng)

• 使用管理員權(quán)限創(chuàng)建任務(wù)，命令如下schtasks /create /TN netstat5303 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令創(chuàng)建計(jì)劃任務(wù)netstat5303
  
• 其中，TN是TaskName的縮寫，我們創(chuàng)建的計(jì)劃任務(wù)名是netstat5303；sc表示計(jì)時(shí)方式，我們以分鐘計(jì)時(shí)填MINUTE；TR=Task Run，要運(yùn)行的指令是 netstat -bn,b表示顯示可執(zhí)行文件名，n表示以數(shù)字來(lái)顯示IP和端口。
• 在C盤先創(chuàng)建一個(gè)TXT文件，然后把如下代碼寫入
  date /t >> c:\netstat5303.txt time /t >> c:\netstat5303.txt netstat -bn >> c:\netstat5303.txt
• 然后修改后綴名改為.bat，使其成為一個(gè)腳本文件，我改的是netstat5303.bat
  
• 打開(kāi)我的電腦，右鍵單擊管理，點(diǎn)擊任務(wù)計(jì)劃管理，再點(diǎn)擊任務(wù)計(jì)劃程序庫(kù)就可以看到自己剛剛創(chuàng)建的任務(wù)計(jì)劃
  
• 雙擊任務(wù)點(diǎn)擊編輯，將“程序或腳本”改為我們創(chuàng)建的netstat5303.bat批處理文件，確定即可。添加參數(shù)那里需要把其他的數(shù)據(jù)都刪掉，在首界面要點(diǎn)擊使用最高權(quán)限運(yùn)行，否則的話就可能在C盤中無(wú)法創(chuàng)建TXT文件，因?yàn)闄?quán)限不夠，無(wú)法寫入
  
• 任務(wù)還有其他屬性，比如默認(rèn)操作為“只有在計(jì)算機(jī)使用交流電源時(shí)才啟動(dòng)此任務(wù)”，所有說(shuō)在使用電池的時(shí)候你是無(wú)法啟動(dòng)此任務(wù)的，這點(diǎn)要注意
• 執(zhí)行此任務(wù)一段時(shí)間后你就會(huì)在C盤里面看見(jiàn)自己創(chuàng)建的netstat5303.txt
  
• 然后在Excel中把自己的數(shù)據(jù)進(jìn)行系統(tǒng)性的分析，首先導(dǎo)入數(shù)據(jù)，點(diǎn)擊數(shù)據(jù)，選擇來(lái)自文本，找到自己的TXT，導(dǎo)入進(jìn)去
  

• 選擇分隔符號(hào)，可以直接從第十行開(kāi)始導(dǎo)入
  

• 分隔符號(hào)選為tab鍵和空格鍵

• 列數(shù)據(jù)格式選為常規(guī)就可以了
  
  然后就可以看到自己所創(chuàng)建的表格了，非常整齊
  
• 對(duì)表格進(jìn)行統(tǒng)計(jì)做一些數(shù)據(jù)透視圖，然后就可以更直觀的看到那些應(yīng)用程序進(jìn)行了鏈接
  
• 從數(shù)據(jù)里面看到發(fā)現(xiàn)winstore鏈接的次數(shù)最多，可能是因?yàn)槲以诤笈_(tái)下載win10商店游戲的緣故
• 接下來(lái)的程序就是kbasesrv.EXE 他是金山旗下的一個(gè)軟件程序。該程序由金山旗下軟件靜默下載安裝到電腦里，使用特定參數(shù)啟動(dòng)并篡改首頁(yè)。用戶雙擊打開(kāi)桌面的快捷方式，會(huì)啟動(dòng)IE瀏覽器并訪問(wèn)毒霸網(wǎng)址大全。但是我已經(jīng)在好幾天前就已經(jīng)把金山毒霸給卸載了，沒(méi)想到他還在啟動(dòng)某些服務(wù)，說(shuō)明卸載沒(méi)有卸載完全，讓人細(xì)思極恐，可以想象我們以前安裝的軟件好多都卸載不干凈，然后就會(huì)導(dǎo)致系統(tǒng)運(yùn)行的越來(lái)越慢。
• 在接下來(lái)的就是QQ瀏覽器了，因?yàn)槲矣玫木褪荙Q瀏覽器，做實(shí)驗(yàn)的時(shí)候看一下參考，所以他在鏈接也比較正常了
• 在接下來(lái)的就是迅雷了，但是我明明沒(méi)有啟動(dòng)迅雷，但是他卻在運(yùn)行，這就讓人琢磨不透了，他究竟是如何啟動(dòng)的，什么時(shí)候啟動(dòng)的。
• 下面一張圖就是本地鏈接的地址了
  
  可以看到用的最多的就是127.0.0.1和192.168.1.155這應(yīng)該是我的本機(jī)的地址
• 再下來(lái)就是我的電腦連接的外部的IP地址了
  
• 發(fā)現(xiàn)鏈接的最多的就是60.221.218.74放到百度看一下這是哪里，這是山西臨汾的一個(gè)地址

• 接下來(lái)的121.29.54.199這是河北省石家莊市 聯(lián)通不是太能看出來(lái)究竟是哪里的服務(wù)器
  這個(gè)實(shí)驗(yàn)到這里基本上就結(jié)束了

實(shí)驗(yàn)二 系統(tǒng)監(jiān)控——Sysmon工具

• Sysmon是微軟Sysinternals套件中的一個(gè)工具，能監(jiān)控幾乎所有的重要操作。
• 首先我們根據(jù)實(shí)驗(yàn)指導(dǎo)書(shū)中的鏈接下載一下Sysinternals套件，下載下來(lái)之后解壓到c盤或者什么地方都可以，只要方便即可
• 接下里，我們來(lái)新建并編輯配置文件C:\20165303.xml exclude相當(dāng)于白名單，里面的程序或IP不會(huì)被記錄，include相當(dāng)于黑名單，可以把自己想監(jiān)控的寫到黑名單中~
• 這是我編輯的我自己的xml文件

<Sysmon schemaversion="3.10"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude"><Signature condition="contains">microsoft</Signature><Signature condition="contains">windows</Signature></DriverLoad><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><Image condition="end with">iexplorer.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp></NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread></EventFiltering> </Sysmon>

• 接下來(lái)使用命令sysmon.exe -i C:\20165303.xml進(jìn)行Sysmon的配置更新與啟動(dòng)
  
• 這是配置好的截圖，可以看到各種命令參數(shù)。
• 接下來(lái)在win10環(huán)境下，左下角開(kāi)始菜單右擊開(kāi)始——事件查看器——應(yīng)用程序和服務(wù)日志——Microsoft————Windows——Sysmon——Operational。這里，我們可以看到按照配置文件的要求記錄的新事件，以及事件ID、任務(wù)類別、詳細(xì)信息等等。
  

• 不同的事件有不同的識(shí)別碼
  事件識(shí)別碼1 :進(jìn)程建立 事件識(shí)別碼2 :進(jìn)程更改了文件創(chuàng)建時(shí)間 事件識(shí)別碼3 :網(wǎng)絡(luò)連接 事件識(shí)別碼4 : Sysmon服務(wù)狀態(tài)已變更 事件識(shí)別碼5 :進(jìn)程已終止 事件識(shí)別碼6 :已載入驅(qū)動(dòng)程式 事件識(shí)別碼7 :已載入影像 事件識(shí)別碼8 :創(chuàng)建遠(yuǎn)程線程 事件識(shí)別碼9 : RawAccessRead 事件識(shí)別碼10 :進(jìn)程訪問(wèn) 事件識(shí)別碼11 :文件創(chuàng)建 事件識(shí)別碼12 :注冊(cè)事件(創(chuàng)建和刪除對(duì)象) 事件識(shí)別碼13 :注冊(cè)事件(值集) 事件識(shí)別碼14 :注冊(cè)事件(鍵和值重命名) 事件識(shí)別碼15 :文件創(chuàng)建流哈希 事件識(shí)別碼255 :錯(cuò)誤

• 觀察一個(gè)事件識(shí)別碼為3的詳細(xì)信息，可以看到這是一個(gè)有關(guān)QQ瀏覽器網(wǎng)絡(luò)連接的事件
  

• 觀察一個(gè)事件識(shí)別碼為5的詳細(xì)信息，可以看到這是一個(gè)有關(guān)搜狗輸入法的進(jìn)程終止事件，可以想一下，應(yīng)該是輸入終止了，然后搜狗輸入法結(jié)束了輸入進(jìn)程
  

• 在觀察一個(gè)事件識(shí)別碼為1的詳細(xì)信息，可以看到這是有關(guān)QQ瀏覽器的進(jìn)程建立的事件，應(yīng)該就是qq瀏覽器重新進(jìn)行了喚醒，然后建立了進(jìn)程
  

• 然后我們打開(kāi)我們的kali虛擬機(jī)，然后使用我們實(shí)驗(yàn)三中的后門文件進(jìn)行回連，然后觀察回連成功后的日志
  

• 可以看到20165303wy.EXE后門程序創(chuàng)建了網(wǎng)絡(luò)連接，這應(yīng)該就是后門回連的時(shí)候創(chuàng)建的網(wǎng)絡(luò)連接使用tcp連接，連接的目的IP地址為192.168.1.154，正是我的kali虛擬機(jī)的IP地址，端口也是我設(shè)置的5303端口，這詳細(xì)而又充分的體現(xiàn)了我們通過(guò)后門程序控制windows的過(guò)程！
  

• 接下來(lái)我們進(jìn)行拍照看一下又創(chuàng)建了哪些進(jìn)程，從圖上看到，啟動(dòng)了driver，這應(yīng)該是驅(qū)動(dòng)進(jìn)程，我猜想應(yīng)該是啟動(dòng)了相機(jī)的驅(qū)動(dòng)程序，而且他的事件識(shí)別碼也是6，已載入驅(qū)動(dòng)程式
  

• 接下來(lái)進(jìn)行截屏的操作，從圖上看出來(lái)進(jìn)行了網(wǎng)絡(luò)連接，應(yīng)該是截了屏之后把數(shù)據(jù)傳過(guò)去了，所以才會(huì)有網(wǎng)絡(luò)連接，事件識(shí)別碼3 :網(wǎng)絡(luò)連接
  

這個(gè)實(shí)驗(yàn)差不多也分析完了，比較簡(jiǎn)單的可以分析出來(lái)究竟他干了些什么，但是更深層次的就不是那么容易分析了

實(shí)驗(yàn)三 惡意軟件分析

先把自己的后門軟件丟到網(wǎng)站上看一下究竟怎么樣，發(fā)現(xiàn)能被檢測(cè)出來(lái)的概率還是挺大的

使用systracer進(jìn)行分析

• 首先下載systracer，在網(wǎng)上找了一個(gè)中文版的，哈哈哈英文版看不太懂https://pan.baidu.com/s/17z9wW_ieYEJCJfz7ky8PQA#list/path=%2Fsharelink3890020941-823790193933702%2F20451&parentPath=%2Fsharelink3890020941-823790193933702這是百度云的鏈接，想要的同學(xué)可以直接下載一下就能用了
• 我是在win7虛擬機(jī)和kali里面做的，英win7虛擬機(jī)的文件比較少，掃描的時(shí)候花的時(shí)間更短，這是在程序運(yùn)行的截圖
  
• 點(diǎn)擊創(chuàng)建快照，若如下圖沒(méi)有全選，可以選擇——僅掃描指定項(xiàng)，然后將下面的全選，之后就可以點(diǎn)擊開(kāi)始啦，接著等一會(huì)，掃描結(jié)束之后會(huì)彈出一個(gè)框，點(diǎn)擊OK，快照就會(huì)自己保存下來(lái)
  

• 我們可以進(jìn)行以下操作進(jìn)行對(duì)比操作
  在win7虛擬機(jī)安裝SysTracer軟件后保存快照，命名為Snapshot #1 將木馬植入靶機(jī)，對(duì)靶機(jī)注冊(cè)表、文件等進(jìn)行快照，保存為Snapshot #2 打開(kāi)kali的msfconsle，靶機(jī)運(yùn)行木馬，回連kali，win7下再次快照，保存為Snapshot #3 在kali中對(duì)靶機(jī)進(jìn)行屏幕截圖，win7下再次快照，保存為Snapshot #4 在kali中對(duì)靶機(jī)進(jìn)行提權(quán)操作，win7下再次快照，保存為Snapshot #5
  
  
  

• 接下來(lái)點(diǎn)擊右下角的比較，看一下究竟有什么變化
• 這是注冊(cè)表的變化，在進(jìn)行kali回連的時(shí)候他對(duì)很多注冊(cè)表項(xiàng)都進(jìn)行了改變
  

• 這是文件的變化，發(fā)現(xiàn)也有不少文件發(fā)生了變化，尤其是20165303wy.exe,這是我電腦中的后門文件
  

• 在下面就是應(yīng)用程序的變化，主要的還是我的后門程序的變化20165303wy.exe
  

接下來(lái)用wireshark抓包分析連接了哪些外部IP，傳輸了什么數(shù)據(jù)

• 設(shè)置主機(jī)host為192.168.1.154,我的kali虛擬機(jī)的IP地址，然后回連看抓到了哪些東西
  
• 發(fā)現(xiàn)大部分的包都是請(qǐng)求的tcp三次握手請(qǐng)求建立的包，可能他是在大量的發(fā)送請(qǐng)求命令然后進(jìn)行連接
  
• 然后打開(kāi)一個(gè)命令包看看里面到到底有什么，發(fā)現(xiàn)果然就是一些建立連接的內(nèi)容三次握手包
  

• 然后進(jìn)行截屏或者錄像等操作，看看抓了什么
  
  還是一些tcp連接請(qǐng)求包
  

• 再來(lái)看一下具體內(nèi)容，發(fā)現(xiàn)也是一些tcp傳輸數(shù)據(jù)
  

下面我們用peid文件格式識(shí)別（peid工具）來(lái)分析一下

• 發(fā)現(xiàn)查到了加殼upx1
  還發(fā)現(xiàn)有的并沒(méi)有發(fā)現(xiàn)加殼，但是我是加了的

有的也沒(méi)有被查到，哈哈哈哈

然后用pe explorer分析一下，發(fā)現(xiàn)還有點(diǎn)看不太懂

使用Process Explorer分析惡意軟件

• 由Sysinternals開(kāi)發(fā)的Windows系統(tǒng)和應(yīng)用程序監(jiān)視工具，目前已并入微軟旗下。不僅結(jié)合了Filemon（文件監(jiān)視器）和Regmon（注冊(cè)表監(jiān)視器）兩個(gè)工具的功能，還增加了多項(xiàng)重要的增強(qiáng)功能。包括穩(wěn)定性和性能改進(jìn)、強(qiáng)大的過(guò)濾選項(xiàng)、修正的進(jìn)程樹(shù)對(duì)話框（增加了進(jìn)程存活時(shí)間圖表）、可根據(jù)點(diǎn)擊位置變換的右擊菜單過(guò)濾條目、集成帶源代碼存儲(chǔ)的堆棧跟蹤對(duì)話框、更快的堆棧跟蹤、可在 64位 Windows 上加載 32位 日志文件的能力、監(jiān)視映像（DLL和內(nèi)核模式驅(qū)動(dòng)程序）加載、系統(tǒng)引導(dǎo)時(shí)記錄所有操作等。

• 靶機(jī)運(yùn)行后門程序進(jìn)行回連的時(shí)候可以看的到20165303wy程序進(jìn)行了運(yùn)行，還有他的子程序conhost也進(jìn)行了運(yùn)行
  

• 下面這是程序的詳細(xì)信息
  

• 這個(gè)軟件還可以讓我們進(jìn)行系統(tǒng)資源的監(jiān)控，類似于Windows的資源監(jiān)控器
  

使用Process Monitor進(jìn)行分析

Process Monitor一款系統(tǒng)進(jìn)程監(jiān)視軟件，總體來(lái)說(shuō)，Process Monitor相當(dāng)于Filemon+Regmon，其中的Filemon專門用來(lái)監(jiān)視系統(tǒng) 中的任何文件操作過(guò)程，而Regmon用來(lái)監(jiān)視注冊(cè)表的讀寫操作過(guò)程。 有了Process Monitor，使用者就可以對(duì)系統(tǒng)中的任何文件和 注冊(cè)表操作同時(shí)進(jìn)行監(jiān)視和記錄，通過(guò)注冊(cè)表和文件讀寫的變化， 對(duì)于幫助診斷系統(tǒng)故障或是發(fā)現(xiàn)惡意軟件、病毒或木馬來(lái)說(shuō)，非常 有用。 這是一個(gè)高級(jí)的 Windows 系統(tǒng)和應(yīng)用程序監(jiān)視工具，由優(yōu)秀的 Sysinternals 開(kāi)發(fā)，并且目前已并入微軟旗下，可靠性自不用說(shuō)。

• 運(yùn)行后門程序進(jìn)行回連下面是找到這個(gè)程序的截圖，不得不說(shuō)找了費(fèi)老半天勁
  

• 進(jìn)程的詳細(xì)信息如下
  

• 這是這個(gè)后門程序引用的各種其他的庫(kù)
  

實(shí)驗(yàn)中遇到的問(wèn)題

• 首先就是無(wú)法生成netstat5303的問(wèn)題，就是在C盤里權(quán)限不夠，無(wú)法寫入，你需要加一個(gè)在最高權(quán)限下運(yùn)行就可以成功創(chuàng)建.txt文件了
• 然后就是在Excel中無(wú)法創(chuàng)建數(shù)據(jù)透視圖的問(wèn)題，由于自己Excel知識(shí)沒(méi)有學(xué)好，所以需要在百度現(xiàn)學(xué)習(xí)，尤其是怎么統(tǒng)計(jì)鏈接數(shù)量那里搞了好久
• 再有就是Sysmon軟件老是安裝不成功，可能是因?yàn)槲覜](méi)有按管理員權(quán)限運(yùn)行的結(jié)果
• 還有就是systracer軟件里面東西太多，無(wú)法靠自己來(lái)充分理解里面的變化，只能是知道里面有哪些發(fā)生了變化，而且剛開(kāi)始在win10主機(jī)里做的時(shí)候，win10系統(tǒng)太龐大，掃描一次要花費(fèi)很長(zhǎng)時(shí)間，所以后來(lái)移到了虛擬機(jī)中

實(shí)驗(yàn)總結(jié)與體會(huì)

本次實(shí)驗(yàn)讓我對(duì)電腦中的惡意軟件進(jìn)行了分析，首先讓我感觸很深 的就是金山毒霸，因?yàn)樯洗螌?shí)驗(yàn)要用，所以下載了這個(gè)金山毒霸，一般我的電腦是不想裝殺毒軟件的，但是我在后來(lái)卸載了以后還是有金山毒霸的進(jìn)程在系統(tǒng)中頻繁的運(yùn)行，所以說(shuō)很多殺毒軟件就是惡意軟件，還有一些軟件就是頻繁的自啟動(dòng)并且進(jìn)行網(wǎng)絡(luò)連接，再有通過(guò)后門惡意軟件分析，知道了后門軟件還是可以通過(guò)監(jiān)控發(fā)現(xiàn)的，他們修改通過(guò)注冊(cè)表和一些文件的變化來(lái)達(dá)到自己的目的，這次實(shí)驗(yàn)讓我從攻擊者的身份轉(zhuǎn)變到了分析者，這個(gè)感覺(jué)很奇妙，讓我明白了這些惡意軟件到底是如何通過(guò)什么方式進(jìn)行運(yùn)行的，收獲非常大。

轉(zhuǎn)載于:https://www.cnblogs.com/Vventador/p/10652292.html

總結(jié)

以上是生活随笔為你收集整理的2018-2019-2 网络对抗技术 20165303 Exp4 恶意代码分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。