Exp4 恶意代码分析 20155223

最新推荐文章于 2024-09-30 14:55:38 发布
最新推荐文章于 2024-09-30 14:55:38 发布
阅读量125 收藏
点赞数
文章标签: 操作系统 网络 运维
原文链接:http://www.cnblogs.com/battlefieldheros/p/8831072.html
版权

Exp4 恶意代码分析 20155223

使用原生命令schtasks监视系统运行

  • 在系统盘目录下建立脚本文件netstatlog.bat,包含以下命令:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
  • 在netstatlog.bat同一目录下建立空文本文件netstatlog.txt,用来接收系统运行信息。

  • 进入Windows系统下的计划任务程序,新建立一个任务,刚才的脚本文件为操作,给予该任务 最高权限
    832599-20180414100306703-2032427542.png

  • 运行计划任务。

  • 运行一个小时之后,删除该计划任务,查看netstatlog.txt。
    832599-20180414100444866-423201780.png

我似乎不应该在计划任务运行时开这么多的网页。

学习使用Sysmon

  • 下载最新版本的Sysmon并安装。
  • 在Sysmon.exe同目录下建立文件test.txt,文件内容包括以下XML:
<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

  • 使用命令行Sysmon.exe -i test.txt安装,使用命令行Sysmon.exe -c test.txt配置。
    832599-20180414101709815-706760620.png

  • 使用win+R,输入 eventvwr 打开事件查看器。

  • 事件1(进程创建):
    832599-20180414102028392-761784933.png

  • 事件2(事件更改):
    832599-20180414102046600-177908832.png

  • 事件3(连接记录):
    832599-20180414102058960-5136037.png

玩玩TCPView

TCPView可以监控当前系统所有进程的状态,后门进程在TCPView之下难以隐藏。
832599-20180414103314594-1406742591.png

我忘记关Sysmon了!

抓包分析

  • 启动Wireshark。

  • 按照前两次实验在虚拟机Kali启动监听。
    832599-20180414103612032-2139462042.png

  • 搜索攻击机的IP:192.168.129.133以寻找后门开启的数据包.
    832599-20180414104330331-495633266.png

这一部分我很好奇,明明后门已经连接好了,怎么会还有那么多的“三次握手”过程?
我可以肯定的是,那一段时间我已经是在通过后门查看本机的文件了。那么有没有可能是后门正在使用TCP“三次握手”的特点来传输数据给攻击机?有意思,伪装得挺好。

systracer工具

  • 下载。这工具在网上一百度就可以得到。
  • 启动。
  • 建立三个快照,每个快照都只扫描C盘。
    • 第一个快照只是扫描C盘的正常运转情况。
    • 第二个快照是C盘后门已开启(并没有使用后门)的情况。
    • 第三个快照是C盘后门以开启并被使用的情况。
  • 对比结果:
    832599-20180414111108595-1253042293.png

没看到多少实质性信息。

PEiD工具

PEiD工具可以用来检测是否存在加壳程序。
未加壳的后门:
832599-20180414111234459-1892368541.png

已加壳的后门:
832599-20180414111253758-286530200.png
连加壳用的程序版本都可以看到。

实验后问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

首先用systracer进行广泛的监视,当发现可疑进程后,再调用sysmon更详细的监控。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

原生命令stchtasks、wireshark、TCPView可以监视可疑进程,并可以获取可疑进程的网络连接信息、对其他进程的影响、可疑进程的运行信息。

感想

说是恶意代码分析,实际上并不是对恶意代码本体的分析,而是对其行为的分析。要想真的找到并消灭恶意代码,只靠观察其特征码还不够。只观察特征码容易引起误伤,当然只看代码行为也会引起误伤。都看,误伤率就大大降低。
不过,我还是认为引入人工智障智能来监视可疑进程会更好。

转载于:https://www.cnblogs.com/battlefieldheros/p/8831072.html

bali9195
关注
ms08067的Exp源代码和exe
10-27
【描述】"ms08067的Exp源代码和exe,欢迎下载" 提示了这些资源是公开的,并且可能被安全研究人员、渗透测试人员或者恶意黑客用于了解、分析或复现MS08-067漏洞的利用过程。下载这些文件可能有助于理解漏洞的工作原理...
Exp4 恶意代码分析 20164321 王君陶
weixin_30724853的博客
04-07 286
Exp4 恶意代码分析 20164321 王君陶 1.实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可...
POC&EXP编写指南.rar
02-11
3. 安全注意事项:EXP编写者应遵循道德规范,仅用于学术研究和漏洞报告,避免恶意利用。 三、POC与EXP的关系: 1. POC是EXP的基础:POC验证了漏洞的存在,EXP则是在此基础上实现对漏洞的实际利用。 2. 转换与升级:...
cve-2018-2628 exp getshell
05-21
【标签】"exp" 代表这是关于漏洞利用的内容,通常这类信息对网络安全研究人员、渗透测试人员以及恶意黑客都有价值。标签表明这个话题与安全漏洞的利用技术有关,可能包含漏洞利用代码或利用方法的讨论。 【压缩包子...
Ghost Exp 浏览器.zip
12-21
6. **源代码开放**:虽然没有明确指出,但Ghost Exp 的名称可能暗示了它是基于开源项目,比如 Ghost 浏览器(如果存在的话),这意味着它的源代码可能是公开的,允许社区参与改进和定制。 在软件开发中,使用这样的...
提权EXP 多次成功
12-09
这里的"EXP"通常指的是exploit(利用),即用于攻击的代码或工具。标题中的“提权EXP多次成功”意味着存在一个或多个有效的提权漏洞利用,而且攻击者已经成功地应用了这些工具。 描述中的“密码自己查看源码”暗示...
鸿蒙开发(NEXT/API 12)【申请接入Wear Engine服务】 穿戴服务
最新发布
鸿蒙的技术博客
09-30 821
申请Wear Engine服务前(开发者需实名认证为个人开发者或者企业开发者,认证前,请先了解二者的[权益区别] ),确认开发环境并完成创建项目、创建HarmonyOS应用等基本准备工作,再继续进行以下开发活动。
Linux系统基本概念与文件系统组成
weixin_46619605的博客
09-26 937
Linux系统基本概念与文件系统组成
Linux嵌入式有发展吗,以及对uboot,kernel,rootfs的领悟
rjszcb的博客
09-30 536
上一份工作是2022,11—2023,11年底,汽车公司,底层修修改改,编译镜像,修改后,客户给东西,重新编译给他,客制化配置启动参数,环境,支持应用部门,不懂怎么使用某些驱动。uboot到底是干嘛的,想想,emmc的镜像文件是怎么被读到ddr的,emmc为啥可以被分区,烧录镜像,tftp网络命令为啥可以运行,启动设备时,为啥lcd可以看到图像,kernel还没启动,怎么出图像的。不管做应用开发,驱动开发也好,知道,系统原理,驱动框架,进程管理调度,内核竞争,信号,中断,锁,这些就够了。
Ollama本地私有化部署通义千问大模型Qwen2.5
L
09-26 207
Qwen是阿里巴巴集团Qwen团队的大型语言模型和大型多模态模型系列。现在大型语言模型已经升级到Qwen2.5。语言模型和多模态模型都是在大规模多语言和多模态数据上进行预训练的,并在符合人类偏好的高质量数据上进行后训练。Qwen具有自然语言理解、文本生成、视觉理解、音频理解、工具使用、角色扮演、人工智能代理等功能。在Qwen2发布的过去三个月里,许多开发人员在Qwen2语言模型上构建了新的模型,向我们提供了宝贵的反馈。在此期间,我们专注于创建更智能、知识更丰富的语言模型。
Xfce4桌面系统的一些桌面定制问题
MENGSONGSHAN的博客
09-26 223
Open Terminal Here指向的是默认的Terminal,如果指向的默认的Terminal没有安装,或者安装有问题就可能导致失效。sudo update-alternatives --config x-terminal-emulator 执行该命令后,后显示选择输入,选择系统存在的terminal即可。所有应用程序都是快捷方式定义,都存在/usr/share/applications目录下的*.desktop中,修改对应的.desktop文件指定的应用即可。
进程管理工具:非daemon进程管理工具supervisor
happy_king_zi的博客
09-29 1092
supervisor是一个 Client/Server模式的系统,允许用户在类unix操作系统上监视和控制多个进程,或者可以说是多个程序。supervisor与launchd,daemontools,runit等程序有着相同的功能,与其中某些程序不同的是,它并不作为“id 为 1的进程”而替代init。相反,它用于控制应用程序,像启动其它程序一样,通俗理解就是,把Supervisor服务管理的进程程序,它们作为supervisor的子进程来运行,而supervisor是父进程。
MongoDB 入门及实践
weixin_42564451的博客
09-27 1308
MongoDB 是一个开源的文档数据库管理系统,属于 NoSQL 数据库的一种类型。它使用 JSON-BSON(Binary JSON)格式来存储数据,提供了高性能、高可用性和易于扩展的特点。MongoDB 支持灵活的文档结构,允许不同的数据存储在同一集合中,并提供丰富的查询语言来进行数据操作。
在ESPnet使用Makefile安装PyTorch和相关依赖的详细教程
帅小柏的博客
09-28 436
在数据科学和机器学习项目中,经常需要安装和配置多个软件包和库。手动安装这些依赖项可能会非常繁琐和耗时。为了简化这个过程,我们可以使用Makefile来自动化安装过程。本教程将详细介绍如何使用Makefile来安装PyTorch和其他相关依赖项。
GB18030-2022《信息技术 中文编码字符集》最高级(3级)认证
RZer的博客
09-26 448
UOS统信桌面专业版系统首个通过GB18030-2022《信息技术 中文编码字符集》最高级(3级)认证的相关说明。
linux---进程程序替换详解
m0_74979625的博客
09-26 449
其实也挺容易理解的,程序替换是涉及到内核的,为了保证安全性,操作系统提供了系统调用,一旦涉及了系统调用,用户态立刻变为了内核态,控制权就交给了操作系统。验证:先自己建一个环境变量的表argv2,然后程序替换后打印所有的环境变量,我们可以看到环境变量已经被覆盖了,新程序的environ指针也指向了这个新的环境变量表。第一个参数是程序文件的路径,程序也是个文件,它存储在磁盘中,后面的参数就是执行这个程序需要的参数。这个函数就没有可变参数了,p表示它会根据你的文件名,去环境变量path中查找,v就是数组的意思。
win10专业版永久关闭自动更新功能
java程序员的蜕变之路
09-30 331
请注意,某些方法可能不适用于 Windows 10 的所有版本。此外,在禁用自动更新之前,请确保您已安装所有重要的安全更新。2. 在新建的AU文件夹右侧空白页面中右键单击并选择“新建”>“DWORD(32位)值”,然后将其命名为“AUOptions”。3. 双击打开AUOptions项,将其数值数据从“0”更改为“2”,然后单击“确定”即可将Windows更新调。:在搜索栏输入“regedit”,然后选择“注册表编辑器”。我的电脑——右键——管理——任务计划程序。:更改完成后,关闭注册表编辑器。
HarmonyOS Next应用开发——@BuildParam自定义插槽
高心星的专栏
09-29 178
当开发者需要自定义组件或是封装组件的时候,经常要根据需求定制布局界面效果,这个时候就需要根据不同条件构建不同的布局效果,@BuildParam配合@Build就可以实现将布局界面作为参数来进行传递。
Miniconda安装教程
m0_61998604的博客
09-27 303
安装完成后,你可以通过 Anaconda Prompt 或 Windows Terminal 访问 Miniconda。使用以下命令运行安装程序(假设你下载的文件名为。安装完成后,你会看到提示,建议你重新启动终端。打开终端,导航到下载的文件所在目录。如果你看到版本号,说明安装成功。文件,启动安装程序。
CVE-2021-21972 exp
07-12
攻击者可以利用此漏洞通过精心构造的输入向应用程序发送恶意代码,进而可能导致远程代码执行(RCE),即攻击者能够控制受影响系统的部分功能。 攻击者通常通过Log4Shell(一种针对Log4j的特定漏洞变种)利用这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值