运行恶意代码
使用沙箱:用作初始诊断:自动执行与分析
- 缺点
只能简单执行,无法输入控制指令。
不能记录所有事件,只报告基本功能。
沙箱环境与真实计算机环境的差异导致一些功能无法触发或表现有所不同。
运行代码(.dll):
rundll32.exe程序
所有的Windows中包含的程序,提供了运行dll的平台。
C:\rundll32.exe DLL name, Export arguments
- Export值必须是一个DLL文件导出函数表中的函数名或者序号。
导出函数:Install 直接加在后面就可以
ServiceMain 需要手动安装服务 net start ServiceName
因为恶意的DLL文件通常在DLLMain(DLL入口点)执行他们的代码,因为无论什么时候被加 载,DLLMain函数总会被执行,所以就可以通过rundll32.exe来加载DLL,动态的获取信息。
修改PE头部和扩展名
使得Windows以一种可执行文件的方式加载DLL。
从IMAGE_FILE_HEADER的特征域中擦除IMAGE_FILE_DLL(0x2000)标记
进程监视
Process Monitor:Windows下的高级监视工具,提供监控注册表、文件系统、网络、线程、进程和线程行为。
Process Explore:列出所有活跃的进程、被进程载入的DLL、各种进程属性和整体系统信息。杀死一个进程、退出用户登录、启动或激活进程。
颜色高亮标记含义
-
- 服务:粉色
- 进程:蓝色
- 新进程:绿色(临时)
- 被终止进程:红色(临时)
- Image标签:显示磁盘上可执行程序的路径
verify:验证磁盘上的签名认证。
- Threads标签:显示活跃的程序。
- TCP/IP标签:活跃的连接和进程监听的端口。
- Strings标签:可用于识别进程替换。
Regshot比较注册表快照
使用快照A记录第一次主次表内容,变化后再用快照B记录第二次注册表内容
模拟网络
网络环境配置
https://www.52pojie.cn/thread-330528-1-1.html
https://www.cnblogs.com/hyq20135317/p/5427509.html
lab_3.1