日韩性视频-久久久蜜桃-www中文字幕-在线中文字幕av-亚洲欧美一区二区三区四区-撸久久-香蕉视频一区-久久无码精品丰满人妻-国产高潮av-激情福利社-日韩av网址大全-国产精品久久999-日本五十路在线-性欧美在线-久久99精品波多结衣一区-男女午夜免费视频-黑人极品ⅴideos精品欧美棵-人人妻人人澡人人爽精品欧美一区-日韩一区在线看-欧美a级在线免费观看

歡迎訪問 生活随笔!

生活随笔

當前位置: 首頁 > 编程资源 > 编程问答 >内容正文

编程问答

20164324王启元 Exp4恶意代码分析

發布時間:2023/12/20 编程问答 30 豆豆
生活随笔 收集整理的這篇文章主要介紹了 20164324王启元 Exp4恶意代码分析 小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

一、實驗要求

1、系統運行監控

  • 使用如計劃任務,每隔一分鐘記錄自己的電腦有哪些程序在聯網,連接的外部IP是哪里。運行一段時間并分析該文件,綜述一下分析結果。
  • 安裝配置sysinternals里的sysmon工具,設置合理的配置文件,監控自己主機的重點事可疑行為。

2、惡意軟件分析

分析該軟件在

  • 啟動回連
  • 安裝到目標機
  • 及其他任意操作時(如進程遷移或抓屏)

該后門軟件

  • 讀取、添加、刪除了哪些注冊表項
  • 讀取、添加、刪除了哪些文件
  • 連接了哪些外部IP,傳輸了什么數據(抓包分析)

二、實驗步驟

1、windows計劃任務

  • 以管理員身份打開cmd,使用指令```schtasks /create /TN 4324netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt創建計劃任務5315netstat,記錄每1分鐘計算機聯網情況:

  • 一、實驗要求

    1、系統運行監控

    • 使用如計劃任務,每隔一分鐘記錄自己的電腦有哪些程序在聯網,連接的外部IP是哪里。運行一段時間并分析該文件,綜述一下分析結果。
    • 安裝配置sysinternals里的sysmon工具,設置合理的配置文件,監控自己主機的重點事可疑行為。

    2、惡意軟件分析

    分析該軟件在

    • 啟動回連
    • 安裝到目標機
    • 及其他任意操作時(如進程遷移或抓屏)

    該后門軟件

    • 讀取、添加、刪除了哪些注冊表項
    • 讀取、添加、刪除了哪些文件
    • 連接了哪些外部IP,傳輸了什么數據(抓包分析)

    二、實驗步驟

    1、windows計劃任務

    • 以管理員身份打開cmd,使用指令```schtasks /create /TN 5315netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt創建計劃任務5315netstat,記錄每1分鐘計算機聯網情況:

    • 一、實驗要求

      1、系統運行監控

      • 使用如計劃任務,每隔一分鐘記錄自己的電腦有哪些程序在聯網,連接的外部IP是哪里。運行一段時間并分析該文件,綜述一下分析結果。
      • 安裝配置sysinternals里的sysmon工具,設置合理的配置文件,監控自己主機的重點事可疑行為。

      2、惡意軟件分析

      分析該軟件在

      • 啟動回連
      • 安裝到目標機
      • 及其他任意操作時(如進程遷移或抓屏)

      該后門軟件

      • 讀取、添加、刪除了哪些注冊表項
      • 讀取、添加、刪除了哪些文件
      • 連接了哪些外部IP,傳輸了什么數據(抓包分析)

      二、實驗步驟

      1、windows計劃任務

      • 以管理員身份打開cmd,使用指令```schtasks /create /TN 4324netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt創建計劃任務5315netstat,記錄每1分鐘計算機聯網情況:

      • 在桌面建立一個netstatlog.txt文件,內容為

      • date /t >> c:\netstatlog.txt
        time /t >> c:\netstatlog.txt
        netstat -bn >> c:\netstatlog.txt

      • 這些指令是用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中

        • 將后綴名改為.bat后,用管理員身份將該文件放入C盤

        • 打開計算機管理的“任務計劃程序庫”,可以查看到4324netstat任務就緒,打開其屬性,修改其指令為c:\netstatlog.bat

        • 在屬性中“常規”一欄最下面勾選“使用最高權限運行”,不然程序不會自動運行

        • 在屬性中“條件”這一選項中的“電源”一欄中,取消勾選“只有計算機使用交流電源才啟動此任務”,防止電腦一斷電任務就停止

        • 可以在C盤的netstat4324.txt文件中查看到本機在該時間段內的聯網記錄:

        • 等待一段時間(如一天),將存儲的數據通過excel表進行整理

        • 首先我們可以看到TCP是最多的,其次是“wps.exe”和“kxes core.exe”。一個是wps軟件云端的一個服務的進程,另一個kxescore.exe是金山毒霸的密保用戶的進程。注冊了金山密保之后就會呈現的。

        • 2、使用sysmon工具

          • 首先創建配置文件sysmon4324.xml,文件中包含指令

          • <Sysmon schemaversion="4.20">

            ?<!-- Capture all hashes -->

            ?<HashAlgorithms>*</HashAlgorithms>

            ?<EventFiltering>

            ?? <!-- Log all drivers except if the signature -->

            ?? <!-- contains Microsoft or Windows -->

            ?? <ProcessCreate onmatch="exclude">

            ????? <Image condition="end with">chrome.exe</Image> </ProcessCreate>

            ?? <FileCreateTime onmatch="exclude" >

            ????? <Image condition="end with">chrome.exe</Image> </FileCreateTime>

            ?? <NetworkConnect onmatch="exclude">

            ????? <Image condition="end with">chrome.exe</Image>

            ????? <SourcePort condition="is">137</SourcePort>

            ????? <SourceIp condition="is">127.0.0.1</SourceIp>

            ?? </NetworkConnect>

            ?? <NetworkConnect onmatch="include">

            ????? <DestinationPort condition="is">80</DestinationPort>
            ?
            ????? <DestinationPort condition="is">443</DestinationPort>

            ?? </NetworkConnect>

            ?
            ?? <CreateRemoteThread onmatch="include">

            ?????? <TargetImage condition="end with">explorer.exe</TargetImage>

            ?????? <TargetImage condition="end with">svchost.exe</TargetImage>
            ??
            ?????? <TargetImage condition="end with">winlogon.exe</TargetImage>

            ?????? <SourceImage condition="end with">powershell.exe</SourceImage>

            ??? </CreateRemoteThread>
            ?
            ? </EventFiltering>

            </Sysmon>

          • 以管理員身份打開命令行,使用指令Sysmon.exe -i C:\sysmon4324.xml安裝sysmon

          • 在事件查看器中的應用程序和服務日志下,查看Microsoft->Windows->Sysmon->Operational。在這里,我們可以看到按照配置文件的要求記錄的新事件,以及事件ID、任務類別、詳細信息等等

          • 點開事件三,發現是我關閉了電腦管家

          • 運行實驗三中生成的后門程序,并用kali進行回連

          • 發現了有上網瀏覽的歷史記錄。

          • 3、惡意軟件分析
          • 文件掃描(VirusTotal、VirusScan工具等)
          • 文件格式識別(peid、file、FileAnalyzer工具等)
          • 字符串提取(Strings工具等)
          • 反匯編(GDB、IDAPro、VC工具等)
          • 反編譯(REC、DCC、JAD工具等)
          • 邏輯結構分析(Ollydbg、IDAPro工具等)
          • 加殼脫殼(UPX、VMUnPacker工具等)
          • 文件掃描(VirScan工具)
          • 使用在線VirusScan工具對上次實驗中生成的.jar文件進行掃描,有(8/49)個軟件發現病毒

          • 點擊掃描結果下方的的哈勃文件分析查看詳細分析結果

        • ?

          總結:
           此惡意代碼主要就是通過建立一個反彈連接,受害機一旦運行該程序,攻擊機就會自動獲取該受害機的控制權限,并在受害機中創建進程、修改刪除文件、創建事件對象等等,對受害機造成很大的威脅。

        • 四、實驗總結

          1、實驗后回答問題

          (1)如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在干些什么。請設計下你想監控的操作有哪些,用什么方法來監控。

        • 使用windows自帶的schtasks指令設置一個計劃任務,每隔一定的時間對主機的聯網記錄等進行記錄。

        • 使用sysmon工具,通過配置想要監控的端口、注冊表信息、網絡連接等信息,記錄相關的日志文件。

          (2)如果已經確定是某個程序或進程有問題,你有什么工具可以進一步得到它的哪些信息。

        • 使用VirusScan工具對可疑文件進行掃描,在哈勃文件分析當中可以很清晰的了解到這個進程的問題是什么。
        • 2.實驗心得:這次的實驗相對于前幾次來說是比較有困難的,但是我覺得在進行了這次試驗之后,我真切的學到了一些能夠保護自己電腦的手段,覺得非常的開心。

轉載于:https://www.cnblogs.com/wqy20164324/p/10665544.html

總結

以上是生活随笔為你收集整理的20164324王启元 Exp4恶意代码分析的全部內容,希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。