20155337《网络对抗》恶意代码分析

最新推荐文章于 2024-11-01 15:32:36 发布
最新推荐文章于 2024-11-01 15:32:36 发布
阅读量113 收藏
点赞数
文章标签: 运维 人工智能 操作系统
原文链接:http://www.cnblogs.com/Twe1vE/p/8933544.html
版权

《网络对抗》恶意代码分析

免杀原理

1.实践目标

1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。
1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

2.实践内容(3.5分)

2.1系统运行监控(2分)

  • (1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

  • (2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

参考:schtask与sysmon应用指导

实际日志的分析还需要发挥下自己的创造力,结合以前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理,这就得大家会什么用什么了。

2.2恶意软件分析(1.5分)

分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件

  • (3)读取、添加、删除了哪些注册表项

  • (4)读取、添加、删除了哪些文件

  • (5)连接了哪些外部IP,传输了什么数据(抓包分析)

基础问题回答

  • (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
    可以用schtasks指令设置一个计划任务,每隔一段时间记录联网情况,端口情况,注册表情况。

用sysmon,配置好想记录事件的文件,然后查看相应的事件。

  • (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
    用systracer查看注册表、文件、端口的变化情况,还有可以用wireshark抓包分析,可获取ip、端口等情况。

实践过程

1、计划任务监控

在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下:

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

建立这个windows批处理文件

1074385-20180424203234711-1841170625.png

netstatlog.bat文件的作用是将记录的联网结果按格式输出到相同目录下的netstatlog.txt文件中。

用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个任务,记录每隔两分钟计算机的联网情况。
1074385-20180424203345412-1885547136.png

  • 创建任务成功就一直盯着txt文件,列出部分活动链接截图
    1074385-20180424203404428-1838177561.png

  • 两分钟一次的检查,时间截图
    1074385-20180424203417550-435927272.png
    1074385-20180424203423359-687511647.png
    1074385-20180424203452380-1447583203.png
    1074385-20180424203520443-2044174062.png

2、sysmon工具监控

配置文件,使用老师提供的配置文件模板,简单修改,把微信、360浏览器、QQ等放进了白名单,保存在了c盘。
1074385-20180424203539321-1299154272.png

配置好文件之后,要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令对sysmon进行安装:
1074385-20180424203547096-803516978.png

启动之后,便可以到事件查看器里查看相应的日志:

  • 事件1(5337后门程序):
    1074385-20180424203556509-140711716.png

  • 事件2(360):
    1074385-20180424203636904-827606566.png

  • 事件3(WPS office):
    1074385-20180424203658076-96492119.png

  • 事件5(conhost):
    1074385-20180424203744206-1927517651.png

目前只找到了事件1、2、3、5,并没有发现事件4;

事件4绑定及深入

3、使用virscan分析恶意软件

使用上一次的网站扫描,在virscan网站上查看上次实验所做的后门软件的文件行为分析:
image
image

PEiD工具

PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。 PEiD有三种扫描模式:正常扫描模式、深度扫描模式、核心扫描模式

  • 使用PEiD查看是否加壳
    image

    Sys Tracer工具

  • 在正常情况下,我们在win7虚拟机下快照保存为Snapshot #1;

  • Kali生成相应的后门,将文件通过ncat传到win7虚拟机下后快照保存为Snapshot #3;

  • Kali开启msf监听,在win7下运行后门程序后快照保存为Snapshot #4;

  • Kali对win7虚拟机进行截图后,在win7下快照保存为Snapshot #5;

  • 安装到目标机时

    更改了pagefile.sysnetstatlog.bat

  • 启动回连时

注册表发生了变化

新增了应用
image
image

  • 截屏时

删除了应用文件

新增了注册表
image
image

WireShark
  • 在kali方打开监听的时候开始抓包,
    image1074385-20180424203427521-1909268342.png

转载于:https://www.cnblogs.com/Twe1vE/p/8933544.html

aihaoruo1063
关注
20155318 《网络攻防》Exp4 恶意代码分析
04-17 151
20155318 《网络攻防》Exp4 恶意代码分析 基础问题 如果在工作怀疑一台主机上有恶意代码,但只是猜想,所有监控系统一天天到底在干些什么。请设计下你监控的操作有哪些,用什么方法来监控。 用sysmon软件进行监测,它会将运行的程序以日记的方式记录下来查看有无恶意代码在运行。 可以使用systracer注册表分析方法进行,恶意代码入侵前后分别拍摄快照。 用wiresh...
20145235李涛《网络对抗技术》- 恶意代码分析
weixin_30654583的博客
04-04 87
基础问答 如果在工作怀疑一台主机上有恶意代码,但只是猜想,所有监控系统一天天到底在干些什么。请设计下你监控的操作有哪些,用什么方法来监控。 可以通过计划任务,来建立一个定时更新的日志来查看 通过sysmon来监控。 通过Process Explorer工具,查看是否有程序调用了异常的dll库 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些...
恶意代码分析
weixin_33872566的博客
04-18 185
基础问题回答 如果在工作怀疑一台主机上有恶意代码,但只是猜想,所有监控系统一天天到底在干些什么。请设计下你监控的操作有哪些,用什么方法来监控。 创建进程、修改注册列表、网络连接;可以使用任务管理器和抓包工具,但是这样太费时费力了,还是用计划任务吧; 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。 可以使用反汇编或者反编译工具查看他的代码,也可以让他在沙盘运...
20155339 Exp4 恶意代码分析
weixin_30868855的博客
04-16 196
20155339 Exp4 恶意代码分析 实验后回答问题 (1)如果在工作怀疑一台主机上有恶意代码,但只是猜想,所有监控系统一天天到底在干些什么。请设计下你监控的操作有哪些,用什么方法来监控监控网络连接。 当某个系统进程出现多个时,重点监控监控注册表的变化。 监控未知的IP的异常频率的连接。 监控系统日志的变化。 (2)如果已经确定是某个程序或进程有问题,你...
渗透测试恶意代码分析
Zgnb173659的博客
07-31 698
恶意代码,也称之为恶意软件/恶意程序,在大多数计 算机入侵事件扮演重要的角色。任何以某种方式来 对用户、计算机、或网络造成破坏的软件,都可以称 之为恶意代码,包括计算机病毒、木马、蠕虫、勒索 软件等。 恶意代码分析,重在分析,通过技术手段获取该程序 的内部结构及其功能实现;对于杀软,提取其特征码 进行查杀;对于取证,可能获得溯源的必要信息,如 IP,作者信息等。
网络安全之恶意代码
热门推荐
学而思(xiejava的blog)
01-17 2万+
恶意代码是一种有害的计算机代码或 web 脚本,其设计目的是创建系统漏洞,并借以造成后门、安全隐患、信息和数据盗窃、以及其他对文件和计算机系统的潜在破坏。恶意代码不仅使企业和用户蒙受了巨大的经济损失,而且使国家的安全面临着严重威胁。1991年的海湾战争是美国第一次公开在实战使用恶意代码攻击技术取得重大军事利益,从此恶意代码攻击成为信息战、网络战最重要的入侵手段之一。恶意代码问题无论从政治上、经济上、还是军事上,都成为信息安全面临的首要问题。让我们一起来认识一下恶意代码。 一、什么是恶意代码 恶意代码(Un
恶意代码分析实战课后习题分析
深度安全实验室
04-01 500
恶意代码分析实战课后习题分析
[当人工智能遇上安全] 14.借助大语言模型GPT-4辅助恶意代码动态分析
杨秀璋的专栏
04-26 1488
《当人工智能遇上安全》系列将详细介绍人工智能与安全相关的论文、实践,并分享各种案例。这篇文章将介绍由广东省智能信息处理重点实验室发布的一项研究成果——借助大语言模型GPT-4辅助恶意代码动态分析。基础性文章,希望对您有所帮助!
恶意代码分析实战——反虚拟机技术对抗
aming小老弟
02-02 870
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
20145306张文锦《网络对抗恶意代码分析
baibishou40950846的博客
04-04 150
20145306张文锦《网络对抗恶意代码分析 20145306张文锦《网络对抗恶意代码分析 1.schtasks监控系统运行 用图形界面配置计划任务。首先为新建任务设置名字;设置触发器为两分钟执行一次;设置操作。 过程遇到了问题,需要用跟高的权限来运...
对等网络主动型恶意代码与免疫疫苗的对抗传播模型
03-28
通过深入分析P2P网络的主动型恶意代码的特征,提出一种适合于P2P网络环境的主动型恶意代码与免疫疫苗的对抗传播模型.模型根据Peer节点受主动型恶意代码及免疫疫苗的双重影响情况将节点细分为易感染、已感染、已...
网络对抗技术-Exp4-恶意代码分析 20181314
weixin_46014245的博客
04-07 545
一、原理与实践说明 1.实践目标 2.实践内容概述 3.基础问题回答 二、实践过程记录 任务一:使用schtasks指令监控系统 任务二:使用sysmon工具监控系统 任务三:恶意软件分析 使用VirusTotal分析恶意软件 使用PEiD分析恶意软件 使用PE Explorer分析恶意软件 使用Process Monitor分析恶意软件 使用Process Explorer分析恶意软件 使用systracer分析恶意软件 使用Wireshark分析恶意软件 三、实验遇到的问题及解决方法 四、实验总结与体会
oceanbase V4.2.2社区版集群离线部署
king_harry的专栏
11-01 585
版本,选择是上传文件,包含oceanbase-ce、oceanbase-ce-libs、oceanbase-ce-utils。关闭时展示,为 OBProxy 集群的访问地址,仅用于生成租户的连接串,不影响实际使用,需要自主配置负载均衡,如果是 VIP 地址,还需要您自主申请并绑定到 OBProxy Server。集群配置选项卡—更多配置—更改系统内存保留选项,默认是30G,如果测试机内存只有16G,则需要调小,本测试调整为2G,这样ocp-server安装不会失败。自定义待管理的集群的名称。
Kubeadm搭建k8s
YCyjs的博客
10-29 1189
kubectl需经由API server认证及授权后方能执行相应的管理操作,kubeadm 部署的集群为其生成了一个具有管理员权限的认证配置文件 /etc/kubernetes/admin.conf,它可由 kubectl 通过默认的 “$HOME/.kube/config” 的路径进行加载。上传 harbor-offline-installer-v1.2.2.tgz 和 docker-compose 文件到 /opt 目录。所有节点上传flannel镜像 flannel.tar 到 /opt 目录,
docker 常用命令
xiaogg3678的专栏
11-01 218
docker 常用命令
如何在Linux系统使用LVM进行磁盘管理
qq_36287830的博客
10-29 1054
LVM是一种将多个物理磁盘合并成一个或多个逻辑卷的机制,使得磁盘管理更加方便。通过本文,你已经学习了如何在Linux系统使用LVM进行磁盘管理。我们介绍了LVM的基本概念、安装方法、创建物理卷、卷组、逻辑卷、格式化和挂载逻辑卷、扩展逻辑卷、调整卷组、使用LVM快照、监控LVM状态、备份与恢复、LVM与RAID、LVM与加密、LVM与快照克隆以及LVM的高级特性等内容。掌握了这些知识,将有助于你在实际工作更好地管理Linux系统的存储资源。
雷池社区版compose文件配置讲解--fvm
duluduli的博客
10-29 317
docker-compose.yml 文件是 Docker Compose 的核心文件,用于定义和管理多个 Docker 容器。通过这个文件,用户可以用简单的命令启动、停止和管理多个相关的容器。 雷
linux基础-lvm逻辑卷组分区实操
最新发布
pikaqiuu11的博客
11-01 252
2、swap分区(交换分区):当程序运行时的物理内存不够时,从其他未运行的程序调取一部分内存到swap分区,供程序使用,当未运行的程序运行时,将内存还原。lvm(logical volume manager),逻辑卷管理,linux系统下管理磁盘分区的一种机制,适合于管理大存储设备,1、系统引导分区(第0扇区):存放系统引导文件(检测操作系统的位置)和linux的内核文件。
IPv网络抗扫描特性与恶意移动代码分析
"IPv网络的抗扫描特性-恶意移动代码分析" 在当今的网络环境,安全问题日益严重,其恶意移动代码,如病毒、蠕虫和DDoS攻击,成为了一个重要的关注点。IPv6网络的出现,部分地是为了解决IPv4网络的某些安全缺陷...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值