20155222卢梓杰 实验四 恶意代码分析
實驗四 惡意代碼分析
1.系統運行監控
實驗步驟如下
1.使用批處理監控程序連接網絡的狀況
在C盤要目錄下建一個文件c:\netstatlog.bat,內容如下:
date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt
創建計劃任務
C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn >> c:\netstatlog.bat"
一段時間后,開始分析產生的數據,尷尬的是不太會用excel,于是先用python對數據進行處理再導入到excel中
f = open("C:\\netstatlog.txt") s = f.read() lines = s.split("\n") dict = {} for line in lines: if line.find("exe")>0: line = line[2:-1] if dict.get(line) == None: dict[line] = 1 else: dict[line] += 1 d = open("C:\\a.xls","w") for key in dict: result = key result += "\t" result += str(dict[key]) result += "\n" d.write(result)
就成了這樣。- 2.使用sysmon工具監控系統運行
1.修改配置文件
```
*
microsoft
windows
chrome.exe
iexplorer.exe
137
127.0.0.1
explorer.exe
svchost.exe
winlogon.exe
powershell.exe
保存配置 sysmon.exe -c config_file_name 啟動服務 sysmon.exe -i config_file_name ```2.查看事件日志
- 3.觀測惡意程序
可以看出后門遷移到了explorer進程中
3.Process Explorer
轉載于:https://www.cnblogs.com/20155222lzj/p/8870263.html
總結
以上是生活随笔為你收集整理的20155222卢梓杰 实验四 恶意代码分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Linux input子系统 io控制字
- 下一篇: 探寻 webpack 插件机制