恶意软件样本行为分析——Process Monitor和Wireshark_process monitor抓包(1)

第一阶段：熟悉 Process********Monitor的使用

利用 Process Monitor  监视 WinRAR  的解压缩过程。

利用 Process Monitor  分析 WinRAR  的临时文件存放在哪个文件夹中。

WinRAR  压缩包内文件直接打开后，有两种关闭方式：先关闭打开的文件，再关闭

打开的压缩包。另外一种方式是先关闭打开的压缩包，再关闭打开的文件。利用 Process Monitor  分析上述两种方式的异同点。

第二阶段：熟悉抓包工具 Wireshark的使用

熟悉 Wireshark  软件的使用，着重掌握 Wireshark  的过滤器使用。

使用 Wireshark  抓取登录珞珈山水 BBS  的数据包，并通过分析数据包获得用户名和 密码。

第三阶段：VMware的熟悉和使用

着重掌握 VMware  的网络设置方式，主要有 NAT  连接、桥接和 Host-Only  模式。 配置自己的木马分析环境。

第四阶段：灰鸽子木马的行为分析

熟悉灰鸽子木马的使用，利用灰鸽子木马控制虚拟机。

利用 Process Monitor  监控感染灰鸽子木马的被控端的文件行为和注册表行为。 利用 Wireshark  监控灰鸽子木马与控制端的网络通信。

提出灰鸽子木马的清除方案。

第五阶段：思考与实践

尝试对大白鲨木马或 PCShare  木马进行行为分析。

1.4 实验关键过程、数据及其分析

1.4.1熟悉 Process Monitor的使用

首先利用 Process Monitor 监视 WinRAR 的解压缩过程。打开软件 Process Monitor，并点击 filter。在弹出的对话框中 Architecture 下拉框，选择 Process Name 填写要分析的应用程序名字，点击 Add 添加、Apply 应用。这里也可以增加 其他过滤规则。

接着测试解压实验工具中的 rar 压缩包，同时检测 Process Monitor 的监控 信息，可以发现成功捕获到了 WinRAR 解压缩过程。

接下来利用 Process Monitor 分析 WinRAR 的临时文件存放在哪个文件夹中。

通过查看创建文件的操作对进程过滤，可以发现 WinRAR 相关的文件开启进 程操作，进而发现临时路径，右键 jump to，跳转到该路径。

可 以 看 到 WinRAR  的 解 压 缩 临 时 路 径 是 ： C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$DIb0.604。

WinRAR 压缩包内文件直接打开后，有两种关闭方式：先关闭打开的文件， 再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包，再关闭打开的文件。 利用 Process Monitor 分析上述两种方式的异同点。

测试先关闭文件，再关闭压缩包，Process Monitor 检测情况如下：

测试先关闭压缩包，再关闭文件，Process Monitor 检测情况如下：

实验结果显示文件是.txt 时两种方式没有明显的区别。但是当文件是 word 类型，如果先关闭压缩包再关闭 word 文档会导致文件存储失败。

1.4.2熟悉抓包工具 Wireshark 的使用

Wireshark 是目前全球使用最广泛的开源抓包软件，其前身为 Ethereal，是 一个通用的网络数据嗅探器和协议分析器 。如果是网络工程师 ，可以通过 Wireshark 对网络进行故障定位和排错；如果安全工程师，可以通过 Wireshark

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

log.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-yNMHtUT1-1713066568283)]