20145330 《网络攻防》恶意代码分析

最新推荐文章于 2024-03-03 12:00:00 发布
最新推荐文章于 2024-03-03 12:00:00 发布
阅读量201 收藏 1
点赞数
文章标签: 网络 运维 操作系统
原文链接:http://www.cnblogs.com/20145330swx/p/6641612.html
版权

20145330 《网络攻防》恶意代码分析

一、基础问题回答

(1)总结一下监控一个系统通常需要监控什么、用什么来监控。

通常需要监控注册表信息的增删添改、进程、端口、服务、ip地址、数据流还有文件的行为记录以及权限。

可以用:

  • TCPview工具查看系统的TCP连接信息
  • wireshark进行抓包分析,查看网络连接
  • sysmon用来监视和记录系统活动,并记录到windows事件日志,提供文件、进程等的详细信息

(2)如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程、恶意代码相关文件。

  • 去专业网站扫描可疑进程,查看测评分数与信息
  • 使用快照分析进程对系统做了哪些改变,新增文件
  • 使用抓包软件分析进程网络连接传输的数据
  • 查看该程序是否获取我们主机权限

二、实验总结与体会

对于恶意软件,我们有很多方法可以分析,可以静态分析也可以动态分析。其实分析恶意软件并没有我们想象的那么晦涩难懂,在操作与分析过程中我也在理解与学习。遇到不会的东西要多独立思考与尝试,可能就会有意想不到的收获呢。

三、实践过程记录

1 恶意代码静态分析

特征库比对

在扫描文件后等待片刻出现文件行为分析后点击查看分析:

886442-20170329202252326-1833024762.png

查看网络行为、注册表行为和其他行为:

886442-20170329202318436-2019187626.png

886442-20170329202400233-465419885.png

查看发现文件会有建立到一个指定套接字连接的行为,自行删除注册表键和值的行为,检测自身是否被调试的行为。

1.2 PE explorer

我没有PE explorer 所以直接下载了一个在自己的win7上,用PE explorer打开文件test_swx.exe,查看PE文件编译的一些基本信息,导入导出表等(啊我下载的是英文的...所以就边比对别人中文的对照着看)

可以看文件编译时间、链接器版本等信息:

886442-20170329202436858-535169854.png

点击“导入表”(import),可以查看该文件依赖的dll库:

886442-20170329202453654-1761417190.png

MSVCRT.dllKERNEL32.dll属于一般程序在win下都会调用的dll库。

ADVAPI32.dll库是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。(注册表操控可疑了啊...)

WSOCK32.dllWS2_32.dll,是用来创建套接字的dll库,如果这个程序所介绍的功能中没有网络连接部分,那么这两个库就有些尴尬的可疑了...

1.3 PEiD

PEiD是一款著名的查壳工具,我电脑上没有这个软件于是先下载了一个。

一般正常的软件是不会为自己加壳的,如果下载了一个带壳软件,那就需要三思而后行了...现在通过PEiD分析一下test_swx.exe是否带壳。

886442-20170329202509904-1320720931.png

Nothing found [Debug]什么都没找到,这样显示说明可能不识别该编译器

2 恶意代码分析之动态分析

2.1 sysinternals工具集

下载老师在项目附件的SysinternalsSuite201608,里面有我们需要用的应用程序

  • 2.1.1 Tcpview

Tcpview用于查看进行tcp连接的进程(有sogou、QQ等),可以看到端口、目的ip等信息。

886442-20170329202528654-1688066089.png

  • sysmon工具

查看老师给的[使用轻量级工具Sysmon监视你的系统](https://edu.cnblogs.com/campus/besti/NetSec2017/homework/390),新建一个5330test.xml文件(文件内容参见指导博客)

指定配置文件,第一次尝试比对版本号。我这个是3.20的,提示建议3.10,进行修改。

886442-20170329202542342-763629969.png

又试了一次发现提示sysmon未安装,应该先一键安装:

sysmon -accepteula –i -n

然后指定配置文件:

sysmon -c 5330test.xml

配置成功:

886442-20170329202557779-1981759501.png

使用sysmon -c查看配置:

886442-20170329202609936-2000692549.png

但是打开服务失败了:

886442-20170329202621842-95842171.png

2.2 SysTracer工具

在附件中下载SysTracer这个工具的安装包,默认安装即可。

分析选择shellcode5330.exe,还是由虚拟机Kali作为攻击方进行监听,自己的主机作为靶机进行回连。

我们会使用这个工具中快照工具Take snapshot,点击进入后我们可以选择想扫描快照的部分

1、在正常情况下,我们在靶机下快照保存为snapshot #1

2、回连靶机成功,进行第二次快照。snapshot #2

886442-20170329202643498-1725753730.png

对比1&2:传输后文件新增了本恶意代码

886442-20170329202703248-415296694.png

3、Kali对靶机进行截图(screenshot)后,在靶机下快照保存为snapshot #3

对比2&3:注册表信息又发生变化

886442-20170329202734389-74414607.png

4、Kali对靶机进行一些权限操作后(get system),在靶机下快照保存为snapshot #4

对比3&4:在进行一些权限操作后,进程信息显示后门程序有联网诉求

886442-20170329202748029-749535233.png

2.3 wireshark

Kali方打开监控,对回连过程进行抓包:可以看到靶机与攻击机三次握手建立连接(有许多次)

886442-20170329202806701-212500944.png

而且可以看出端口是我们的443端口但是数据加密,双方建立多次三次握手连接为了什么呢...想想都怕

886442-20170329202818764-1359330565.png

2.4 任务计划

进入控制面板-管理工具-任务计划程序-创建任务-触发器-新建触发器,创建一个任务计划,命名为netstat5330(在常规界面命名)

触发器我们选择每天每隔5分钟执行一次

886442-20170329202851045-422107810.png

在C盘下创建一个文件夹:5330,在5302下创建一个netstat5330.txt,内容如下:(让网络记录可以显示我们连接的网络的时间和日期信息)


    date /t >> c:\netstat5330.txt
    time /t >> c:\netstat5330.txt
    netstat -bn >> c:\netstat5330.txt

保存后我们将文件的后缀改为bat,即netstat5330.bat

在操作选项栏设置:参数为>>c:\5330\netstat5330.txt

886442-20170329202904951-1206867706.png

创建完成,运行netstat5330.bat,,点击管理员权限运行,我的会停留一秒闪退,但在这个过程中我迅速看清了netstat5330.txt的路径,直接在c盘下(这很费眼...),打开文件即可查看。

886442-20170329203205201-177593543.png

转载于:https://www.cnblogs.com/20145330swx/p/6641612.html

angfoyi4419
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[网络安全自学篇] 三十五.恶意代码攻击检测及恶意样本分析
杨秀璋的专栏
12-26 1万+
本文主要结合作者的《系统安全前沿》作业,相关论文及绿盟李东宏老师的博客,从产业界和学术界分别详细讲解恶意代码攻击溯源的相关知识。在学术界方面,用类似于综述来介绍攻击追踪溯源的不同方法;在产业界方面,主要参考李东宏老师从企业恶意样本分析的角度介绍溯源工作。关于攻击溯源的博客和论文都比较少,希望这篇文章对您有所帮助,如果文章中存在错误或理解不到位的地方,还请告知作者与海涵~
网络攻防技术汇总
10-11
介绍了网络攻击与防御技术。从网络安全所面临的不同威胁入手,详细介绍了信息收集、口令攻击、缓冲区溢出、恶意代码、Web应用程序攻击、嗅探、假消息、拒绝服务攻击等多种攻击技术,并给出一定的实例分析。从网络安全、访问控制机制、防火墙技术、入侵检测、蜜罐技术等方面系统介绍网络安全防御技术,进而分析了内网安全管理的技术和手段。
安全防御之恶意代码与防护技术
wangluoanquan111的博客
03-03 1338
恶意代码是指没有作用却会带来危险的代码。通常把未经授权便干扰或破坏计算机系统、网络功能的程序或代码(一组指令)称之为恶意程序。恶意程序包括计算机病毒、木马、蠕虫等。详见恶意代码的防范,不是单靠一种或几种技术就能解决的,而要靠技术、管理以及用户安全意识的共同防范,只有三者相结合才能最大程度地防止恶意代码对系统和用户信息的破坏。目前,恶意代码防范方法主要分为两方面:基于主机的恶意代码防范方法和基于网络恶意代码防范方法。
网络攻防原理与技术】第6章:特洛伊木马
Godam
06-06 1960
恶意代码指在不为人知的情况下侵入用户的计算机系统,破坏系统、网络、信息的保密性、完整性和可用性的程序或代码。与正常代码相比,具有非授权性、破坏性等特点。在计算机程序中插⼊的破坏计算机功能并能⾃我复制的⼀组程序代码。依 附于正常的软件或者⽂件中。不能独⽴运⾏。主要表现(特点):传染性、潜伏性、可触发性、寄生性、非授权性、破坏性计算机病毒的结构:通过计算机⽹络⾃我复制,消耗系统资源和⽹络资源的程序有以下几个模块:指⼀种与远程计算机建⽴连接,使远程计算机能够通过⽹络控制本地计算 机的程序。分为以下几类:⽊⻢体系结
网络攻防恶意代码分析
2301_76161259的博客
04-25 442
在免杀原理中我们总结出了恶意代码常用的一些障眼法,在上述两个环节中,我们分别使用了比对特征库,以及对其一些设计上的行为功能进行了分析,接下来,我们使用工具PEID对一些加壳的恶意代码进行壳分析。pe exploer除了编辑资源之外,我们可以用其打开该程序的导入表(一般作为可执行文件,都不向外部提供函数,而需要外部提供一些基础函数支持,所以只有导入表,没有导出表)从以上对于导入表的分析我们可以看出,除了正常的函数,内存管理等调用,该可执行文件还有着修改注册表,系统日志的功能,且与外界建立了。
恶意代码防范技术原理-恶意代码概述
我的个人博客
09-06 5353
恶意代码是一种违背目标系统安全策略的程序代码,会造成目标系统信息泄露、资源滥用,破坏系统的完整性及可用性。它能够经过存储介质或网络进行传播,从一台计算机系统传到另外一台计算机系统,未经授权认证访问或破坏计算机系统包括计算机病毒( Computer Virus)、 蠕虫(Worms)、特洛伊木马(Trojan Horse)、逻辑炸弹( Logic Bombs)、 细菌(Bacteria)、恶意脚本(Malicious Scripts)和恶意ActiveX控件、间谍软件(Spyware)等。
恶意代码分析及防治研究
qq_58320839的博客
05-16 370
关于恶意代码的防治手段应基于有效的分析结果而制订,并在不断发展,使之更具威慑力,并能针对日益复杂化的威胁作出回应。这就给未来防治恶意代码提供了一种新思路——通过研究最前沿的技术并将其组合,可以在未来对日益增长的网络威胁发起更有效、更全面和更快速的控制,并提供管理更多样化的消除恶意代码系统。(3)木马(Trojan Horse):木马是指伪装成无害程序但实际上包含恶意代码的软件,通过欺骗用户安装、运行及提供技术支持等手段攻击并掌控系统,开启漏洞隙缝逐步窃取、毁坏关键数据,甚至给攻击者反向控制的权限。
20145322 《网络攻防恶意代码分析
04-06 156
20145322 《网络攻防恶意代码分析 一、基础问题回答 1.总结一下监控一个系统通常需要监控什么、用什么来监控。 通常监控以下几项信息: 系统上各类程序和文件的行为记录以及权限 注册表信息的增删添改 监控软件: TCPview工具查看系统的TCP连接信息 wireshark进行抓包分析 sysmon用来监视和记录系统活动 2.如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何...
20155235 《网络攻防》 实验四 恶意代码分析
weixin_30266829的博客
04-18 207
20155235 《网络攻防》 实验四 恶意代码分析 实验目的 是监控你自己系统的运行状态,看有没有可疑的程序在运行。 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好...
网页恶意代码扫描系统 V1.0
09-13
【网页恶意代码扫描系统基本介绍】 网页恶意代码扫描系统是互联安全网开发的一套安全工具,主要帮助安全工程师和管理员快速定位恶意代码,协助技术人员快速分析和清理恶意代码,有效保护web站点的安全。 【网页恶意代码扫描系统软件特点】 网页恶意代码扫描系统v1.0主要特点如下: ● 可快速扫描网站程序代码中含有的恶意代码。 ● 可自定义特征码,可添加、定义各种流行的特征码,准确识别各种恶意代码。 ● 可自定义扫描 ...
合肥工业大学网络攻防课件.zip
01-13
课程内容 第1章 网络攻防概论 第2章 TCP/IP协议分析 第3章 信息收集技术 第4章 网络攻击技术基础 第5章 恶意代码及其防御 第6章 网络防御技术基础
攻防世界问题的概要介绍与分析
最新发布
05-13
"攻防世界"这一术语广泛应用于网络安全领域,它生动描绘了一个持续演进的技术战场,其中攻击者与防御者围绕着数据保护、系统安全及网络基础设施的完整性展开激烈的智斗。在这个虚拟而又现实交织的舞台上,知识、技能...
网络安全攻防演习防守手册.pdf
06-09
三、建立网络安全防护能力 1、常见的网络拓扑 任何一家参与网络攻防演习防守单位, 网络拓扑、 业务 应用各不相同,为了便于理解,我们从多家单位的网络拓 扑中抽出共性特征,做出如图 2-1 的网络拓扑。 图 3-1:...
零基础3节课掌握网络攻防实用本领
06-13
零基础3节课掌握网络攻防实用本领,从网络安全所面临的不同威胁入手,详细介绍了信息收集、口令攻击、缓冲区溢出、恶意代码、Web应用程序攻击、嗅探、假消息、拒绝服务攻击等多种攻击技术,并给出一定的实例分析
网络安全之恶意代码
热门推荐
学而思(xiejava的blog)
01-17 2万+
恶意代码是一种有害的计算机代码或 web 脚本,其设计目的是创建系统漏洞,并借以造成后门、安全隐患、信息和数据盗窃、以及其他对文件和计算机系统的潜在破坏。恶意代码不仅使企业和用户蒙受了巨大的经济损失,而且使国家的安全面临着严重威胁。1991年的海湾战争是美国第一次公开在实战中使用恶意代码攻击技术取得重大军事利益,从此恶意代码攻击成为信息战、网络战最重要的入侵手段之一。恶意代码问题无论从政治上、经济上、还是军事上,都成为信息安全面临的首要问题。让我们一起来认识一下恶意代码。 一、什么是恶意代码 恶意代码(Un
网络攻防》实验四:恶意代码分析
weixin_33736649的博客
04-02 848
 《网络攻防》实验四:恶意代码分析 小生有感 安装360,到底是“伺虎在侧”还是“御虎在侧”?从目前网络主流舆论和周围同学的看法看,还是前者居多。虽然我没经历过3721支配的恐惧,但这个360的前生,确实被很多人痛骂唾弃过。有人说,现在360就是走3721的老路,从一个方便的好工具,野蛮生长,疯狂无底线,誓要完成像木马的“华丽蜕变”。以上的话,是危言耸听、杞人忧天还是警示恒言,抱歉,我看不清。但不...
网络渗透实验一
weixin_51736614的博客
11-05 337
网络渗透实验一 实验目的:理解网络扫描、网络侦察的作用;通过搭建网络渗透测试平台,了解并熟悉常用搜索引擎、扫描工具的应用,通过信息收集为下一步渗透工作打下基础。 系统环境:Kali Linux 2、Windows 网络环境:交换网络结构 实验工具: Metasploitable2(需自行下载虚拟机镜像);Nmap(Kali);WinHex、数据恢复软件等 实验步骤: 1、用搜索引擎Google或百度搜索麻省理工学院网站中文件名包含“network security”的pdf文档,截图搜索得到的页面。 2
恶意代码行为
煮酒闲谈
09-11 1635
恶意代码行为摘要 恶意代码(Unwanted Code)是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。 :恶意代码又称恶意软件。这些软件也可称为广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)。是指在未明确提示用户
恶意代码分析-第十四章-恶意代码网络特征
每昔的博客
09-05 3040
目录 笔记 实验 Lab14-1 Lab14-2 Lab14-3 笔记 基于IP地址和域名信息: DomainTools(http://www.domaintools.com)-->whois历史记录的查询,能够进行反向IP查询。 RobTex(http://www.robtex.com)-->单个IP地址指向的多个域名信息 BFK DNS logger(http:...
网络攻防技术分析的参考文献
05-25
以下是一些网络攻防技术分析的参考文献: 1. "The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders and Deceivers" by Kevin Mitnick and William L. Simon 2. "Hacking Exposed: Network Security Secrets & Solutions" by Stuart McClure, Joel Scambray, and George Kurtz 3. "Penetration Testing: A Hands-On Introduction to Hacking" by Georgia Weidman 4. "Black Hat Python: Python Programming for Hackers and Pentesters" by Justin Seitz 5. "The Tangled Web: A Guide to Securing Modern Web Applications" by Michal Zalewski 6. "Network Security Assessment: Know Your Network" by Chris McNab 7. "The Shellcoder's Handbook: Discovering and Exploiting Security Holes" by Chris Anley, John Heasman, Felix Lindner, and Gerardo Richarte 8. "Gray Hat Hacking: The Ethical Hacker's Handbook" by Daniel Regalado, Shon Harris, and Allen Harper 9. "Metasploit: The Penetration Tester's Guide" by David Kennedy, Jim O'Gorman, Devon Kearns, and Mati Aharoni 10. "Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems" by Chris Sanders.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值