20145312《网络对抗》Exp4 恶意代码分析

最新推荐文章于 2024-09-22 13:49:16 发布
最新推荐文章于 2024-09-22 13:49:16 发布
阅读量136 收藏 1
点赞数
文章标签: 网络 c/c++ 运维
原文链接:http://www.cnblogs.com/yx20145312/p/6658780.html
版权

20145312《网络对抗》Exp4 恶意代码分析

问题回答

1.总结一下监控一个系统通常需要监控什么、用什么来监控。

  • 监控一个系统通常需要监控这个系统的注册表,进程,开放端口,程序服务还有文件的添加和删除情况等。
  • 使用一些软件比如本次实验用到sysmon、SysTracer v2.10等工具读取系统的注册表,进程表等信息来实现实时监测。

2.如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程、恶意代码相关文件。

  • 先对当前情况快照,然后重启计算机,对计算机的注册表,进程,端口,服务等内容进行检测,通过观察注册表,进程等内容的变化筛选出可疑的对象,然后针对可疑的对象使用抓包工具具体分析,看看有没有连接未知IP地址等的可疑操作,分析数据包是否有可疑内容。找到该程序后可以通过VirScan网站的行为分析、PE explorer、PEiD等工具来分析其行为、编译信息等以此来判断其是否为恶意代码。

实验总结与体会

  • 本次实验我们用多个工具静态或动态分析了恶意代码的行为或操作,分析了系统的联网情况等。有很强的实践意义,在今后使用计算机遇到疑似恶意代码,我们可以通过通过VirScan网站的行为分析、PE explorer、PEiD等工具来分析其行为、编译信息等以此来判断其是否为恶意代码。同时我们也要经常保存系统快照,发生异常情况时可以有个比对。

实践过程记录

通过VirScan网站的行为分析来分析恶意代码

  • 上传之前实验生成的后门程序到VirScan网站,扫描后生成行为分析表
    885499-20170402111411149-655908751.png
  • 可以看到VirScan网站分析出该后门程序有建立一个指定的套接字连接,删除注册表键,删除注册表键值,检测自身是否被调试,创建事件对象等行为。但是蔡野同学的博客通过对比两次的后门程序(前者是不能免杀的,后者是可以免杀的)分别分析后,发现可免杀的没有检测出具体行为,可见只通过网站对恶意代码进行分析是不够的。

使用分析软件动态分析

PE explorer
  • 使用这个软件打开后门程序NewShellcode-5312.exe查看一些基本信息和导入导出表等:
    885499-20170402112458414-1016853746.png
  • 查看程序头文件信息,可以看到程序节头的信息和一些指向操作信息
    885499-20170402112731008-935383189.png
  • 可以看到程序引入了哪些dll
    885499-20170402112845852-1131588232.png
  • 通过反汇编指令去反汇编程序,得到一个大致的程序汇编语言:
    885499-20170402112909352-1583817594.png
PEiD
  • 使用PEiD查壳,可以看到壳和编译器信息为Visual C++ 8.0[Debug]
    885499-20170402113001711-310885129.png
Sysinternals工具集
  • Windows Ssinternals工具集,是微软发布的一套非常强大的免费工具程序集。
TCPview工具
  • TCPview可以查看系统中的TCP连接的进程
    885499-20170402113715602-205062507.png
  • 可以看到百度拼音,explorer,湖南TV建立了很多TCP连接,从中可以看到目的ip和端口等信息。
sysmon工具

  • 安装sysmon,参考http://www.freebuf.com/sectool/122779.html上面的模板来配置sysmon,但将模版第一行的版本号改为3.10。
    885499-20170402114734414-1674110757.png

  • 可以使用sysmon -c查看配置:
    885499-20170402114810399-2012781582.png

  • 进入事件查看器查找日志,然后进入sysmon日志查看信息。
    885499-20170402115108149-565406855.png
  • 主要有一下几个应用程序的服务日志
    885499-20170402115154617-404102730.png
  • backgroundTaskHost进程属于照片应用的进程,CPU占用达到了很高的比率。
    885499-20170402115202461-1335907604.png
  • 又是百度拼音
    885499-20170402115209320-1183157136.png
  • Searchfilterhost.exe进程,大量占用系统的CPU和内存资源,它的作用是在搜索文件时提供服务。
    885499-20170402115214555-1805285613.png

  • QQ软件管理守护程序了,基本上是安全的。

SysTracer v2.10
  • 点击进入后我们默认选择扫描所有,点击start等待快照完成即可。
在正常情况下,我们在win7虚拟机下快照保存为Snapshot #5312-1;
Kali生成相应的后门,将文件通过ncat传到win7虚拟机下后快照保存为Snapshot #5312-2;
Kali开启msf监听,在win7下运行后门程序后快照保存为Snapshot #5312-3;
Kali对win7虚拟机进行截图后,在win7下快照保存为Snapshot #5312-4;
  • Snapshot #5312-1与Snapshot #5312-2比较

  • 传输文件过后注册表发生变化;C盘新增了我们传输的文件:
    885499-20170402120237039-1624697520.png
    885499-20170402120348352-1311916230.png

  • Snapshot #5312-2与Snapshot #5312-3比较
  • Kali回连成功后,可以看到运行的程序中多了NewShellcode-5312.exe,以及它的开放端口和服务
    885499-20170402120851399-898173046.png
  • Snapshot #5312-3与Snapshot #5312-4比较

  • 截屏后,注册表信息又发生变化
    885499-20170402121120258-2115803204.png

wireshark捕包分析
  • 捕捉win 10主机与Kali的通信数据信息:
  • Kali的IP地址:192.168.169.128
  • Win10在以太网适配器 VMware Network Adapter VMnet8中的IP:192.168.137.1
  • 使用nc传输数据
    885499-20170402121535086-1322630413.png
  • 使用wireshark捕捉到TCP会话
    885499-20170402121707852-1173544285.png
    885499-20170402121719836-455352292.png
    885499-20170402121730367-438728835.png
  • 可以看到明文通信内容:hi、hello、im 20145312,以及端口5312和源/目的IP地址等信息
计划任务并记录联网行为
  • 新建触发器
    885499-20170402122108274-966717161.png
  • 创建完成,我们运行这个任务,发现5312下出现我们的txt文件,但是没有显示出我们想要的网络连接记录信息,而是:请求的操作需要提升,右键netstat5312.bat,点击管理员权限运行,即成功。
    885499-20170402124015945-2059563838.png
    885499-20170402123832008-928672227.png

转载于:https://www.cnblogs.com/yx20145312/p/6658780.html

acn19249
关注
网络对抗技术-Exp4-恶意代码分析 20181314
weixin_46014245的博客
04-07 512
一、原理与实践说明 1.实践目标 2.实践内容概述 3.基础问题回答 二、实践过程记录 任务一:使用schtasks指令监控系统 任务二:使用sysmon工具监控系统 任务三:恶意软件分析 使用VirusTotal分析恶意软件 使用PEiD分析恶意软件 使用PE Explorer分析恶意软件 使用Process Monitor分析恶意软件 使用Process Explorer分析恶意软件 使用systracer分析恶意软件 使用Wireshark分析恶意软件 三、实验遇到的问题及解决方法 四、实验总结与体会
WireShark黑客发现之旅(3)—Bodisparking恶意代码
weixin_34259232的博客
03-08 527
聚锋实验室 · 2015/07/21 10:41作者:Mr.Right、Evancss、K0r4dji申明:文中提到的攻击方式仅为曝光、打击恶意网络攻击行为,切勿模仿,否则后果自负。0x00 发现接到客户需求,对其互联网办公区域主机安全分析。在对某一台主机通信数据进行分析时,过滤了一下HTTP协议。一看数据,就发现异常,这台主机HTTP数据不多,但大量HTTP请求均为“Get heikewww/w...
wireshark分析TCP数据包
一个菜鸟的博客
09-09 1万+
TCP/IP协议不清楚请回看TCP/IP协议理论在虚拟机运行ubuntu,通过windows下的cuteftp连接ubuntu,利用wireshark进行抓包分析。出现如下数据帧(注意wireshark如何过滤消息): 其中47,48,49分别是三次握手对应的帧信息。三次握手47帧/握手1 上面信息已经非常明确。这是一个客户机请求连接帧。只设置了SYN标志位。并且初始化序列号和确认应答号都为
20155232《网络对抗Exp4 恶意代码分析
aoqian2533的博客
04-16 179
20155232《网络对抗Exp4 恶意代码分析 1.实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象...
20155308《网络对抗Exp4 恶意代码分析
WFS12300的博客
04-17 206
20155308《网络对抗Exp4 恶意代码分析 实践说明 实践目标 是监控你自己系统的运行状态,看有没有可疑的程序在运行。 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步...
20165107 网络对抗技术 Exp4 恶意代码分析
weixin_30391339的博客
04-07 164
20165107 网络对抗技术 Exp4 恶意代码分析 4.1 基础问题回答 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 我所了解的有这些:修改了哪些注册表、创建了哪些进程、占用了哪些端口修改、查看了哪些文件、连接了哪些网络。 我所知道的监控方法有:可以定时让主机执行netstat然后分析...
网络对抗 Exp4 恶意代码分析 20154311 王卓然
weixin_30326745的博客
04-11 149
Exp4 恶意代码分析 一、实践目标 1.监控自己系统的运行状态,看有没有可疑的程序在运行。 2.分析一个恶意软件,分析Exp2或Exp3中生成后门软件。 二、实践步骤 1.系统运行监控 使用 netstat 定时监控 首先创建一个txt文件,用来将记录的联网结果按格式输出到netstatlog.txt文件中,内容为: date /t >> c:\netsta...
网络对抗 Exp4 恶意代码分析 20154321 何思影
weixin_30247307的博客
04-14 126
Exp4 恶意代码分析 一、实践目标 1.监控自己系统的运行状态,看有没有可疑的程序在运行。 2.分析一个恶意软件,分析Exp2或Exp3中生成后门软件。 二、实践步骤 1.系统运行监控 使用 netstat 定时监控 首先创建一个txt文件,用来将记录的联网结果按格式输出到netstatlog.txt文件中,内容为: date /t >> c:\netstatlog....
2018-2019 20165208 网络对抗 Exp4 恶意代码分析
weixin_30436891的博客
04-03 197
目录 2018-2019 20165208 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控(2分) 恶意软件分析(1.5分) 报告评分(1分) 基础问题回答 实践过程记录 1. 系统运行监控——计划任务 ...
2019-2020-2 20175212童皓桢《网络对抗技术》 Exp4 恶意代码分析
weixin_44826338的博客
04-17 569
2019-2020-2 20175212童皓桢《网络对抗技术》 Exp1 恶意代码分析 目录 1. 实验目标 2. 实验内容 2.1 系统运行监控 2.1.1 Windows计划任务schtasks 2.1.2 sysmon工具 2.2 恶意软件分析 2.2.1 系统运行监控 2.2.1 系统运行监控 3、答老师问 3.1 实验收获与感想 3.2 如果在工作中怀...
20194307肖江宇Exp-4 恶意代码分析
MYRLY的博客
04-11 4460
文章目录2094307肖江宇Exp-4 恶意代码分析一、实践目标1.1 系统运行监控1.2 恶意软件分析1.3 未来设想二、实践内容2.1 系统运行监控—任务计划(1) 写好脚本(实际上就是命令行语句)(2)用命令行创建一个计划任务(3)打开任务计划程序(4)在常规中选择使用最高权限运行,在条件中关闭电源限制(5)在操作栏清空参数,选择批处理文件(6)等待一段时间后就可以得到想要的数据了(7)收集了较多数据后,停止任务,将所得数据在excel中进行分析(8)分析结果 2094307肖江宇Exp-4 恶意代码
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
热门推荐
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
杨秀璋的专栏
07-19 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
计算机网络笔记001
最新发布
cocofu的博客
09-22 703
通信网络研究的是通信终端(如电话)和内部通信问题,而计算机网络则更关注计算机之间的联网和通信,比如我们的Wi-Fi网络。分布式系统是一种建立在计算机网络之上的、 具有高度内聚性 ( Cohesiveness ) 和透明性 ( Transparency ) 的系统, 呈现给用户的是一 个统一的系统, 好像是一台计算机 。#### 学生D:云计算平台也是,像AWS,不同的服务如存储、计算和数据库虽然独立,但通过一个统一的管理界面和API协作,用户感觉是一个整体。#### 老师:没错,这是一部分。
kubernetes网络(一)之calico详解
鲜少为的博客
09-22 1147
本文介绍Kubernetes最流行的网络解决方案calico。
网络高级day03(Http)
dghbs的博客
09-21 1103
HTTP
计算机网络34——Windows内存管理
weixin_74681777的博客
09-19 500
产生的原因:计算机内存空间有限,用户通过页表查找某页时,某页因为内存有限,被移到外存中,无法访问。在块内存在的未使用空间叫内部碎片,在块外存在的未使用空间叫外部碎片。固定分区分配可能出现内部碎片,动态分区分配可能出现外部碎片。页式存储会产生内部碎片,不会产生外部碎片。分为连续分配管理和非连续分配管理。3、逻辑地址和实际地址的互相转换。6、内部碎片和外部碎片。9、段式存储地址映射。
第五章 网络编程 TCP/UDP/Socket
2401_84692568的博客
09-19 934
A/B/C/D/E类 地址的组成。客户端和服务端tcp协议的案例。
创建 TLS 客户端 凭据时出现严重错误。内部错误状态为 10013。 SSPI 客户端进程 backgroundTaskHost (PID: 6472)。
07-28
这个错误状态 10013 通常表示在创建 TLS 客户端凭据时遇到了权限问题。可能的原因包括以下几点: 1. 权限不足:确保你具有足够的权限来创建 TLS 客户端凭据。你可以尝试使用管理员权限运行程序或者检查你的用户账户权限。 2. 防火墙或安全软件:某些防火墙或安全软件可能会阻止创建 TLS 客户端凭据。你可以尝试暂时禁用这些软件,然后重新尝试创建凭据。 3. 端口被占用:如果其他应用程序正在使用相同的端口,可能会导致创建 TLS 客户端凭据失败。你可以尝试更改端口或者关闭占用该端口的程序。 如果以上方法都无法解决问题,你可能需要进一步检查相关日志或联系相关技术支持以获取更详细的帮助。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值