20145321 《网络对抗技术》 恶意代码分析

最新推荐文章于 2024-11-15 13:39:47 发布
最新推荐文章于 2024-11-15 13:39:47 发布
阅读量133 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/5321z/p/6665818.html
版权

20145321 《网络对抗技术》 恶意代码分析

基础问题回答

1、如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

  • 用Process Explorer工具看是否有程序调用了异常的dll库
  • 用schtasks指令设置一个计划任务,记录下联网情况
  • 用systracer进行快照,比照注册表、文件等信息
  • 通过sysmon工具,配置好想要监控的文件,在事件查看器里找到相关日志文件

2、如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息

  • 用wireshark进行抓包分析,查看网络连接
  • 在VirScan网站扫描可疑进程,看行为分析

实践过程记录

计划任务并记录联网行为
  • 先在C盘目录下建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstatlog.txt文件中,netstatlog.bat内容为:

  • 打开Windows下命令提示符,输入指令 schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat" 指令创建一个每隔两分钟记录计算机联网情况的任务:

  • 查看一下netstatlog.txt文件

  • 这里看到有一个svchost.exe不断地在联网,最初不知道是什么,还以为是病毒…百度了一下,看来也有不少人问这是不是病毒,不过百科上说它是一个系统程序。

 

使用sysmon工具监控系统运行

  • 直接用的是老师给的配置文件来配置sysmon工具

  • 配置好文件之后,先使用 Sysmon.exe -i C:\5321\Sysmoncfg.txt 指令对sysmon进行安装:

  • 启动后,就可以在事件查看器里面查看日志、文件的联网:

virscan分析恶意软件

  • 通过VirScan网站的行为分析来分析恶意代码,在扫描文件后等待片刻出现文件行为分析后点击查看分析

 

  • 查看发现文件会有建立到一个指定套接字连接的行为,自行删除注册表键和值的行为,检测自身是否被调试的行为。

用systracer工具分析

  • 首先在执行后门之前打开安装好的SysTracer然后进行一次快照,选择注册表和应用进行快照。

  • 然后在执行后门程序回连成功之后第二次快照

  • 在kali通过msf对靶机进行截屏之后第三次快照

对比snapshot #1、#2 传输后文件新增了本恶意代码

对比snapshot #2、#3 注册表信息发生变化

对比snapshot #3、#4 在进行一些权限操作后,进程信息显示后门程序有联网诉求

Process Explorer分析恶意软件

使用这个软件可以打开后门程序查看一些基本信息和导入导出表等

点击“导入表”(import),可以查看该文件依赖的dll库:

实验总结体会

通过这次实验,感觉很多恶意代码已经发展的很厉害了,伪装隐藏颇深,但我们分析检测的方式技术也是很多很先进的,我们只有更进一步的学习和思考,才能在那么多的恶意代码面前有能力进行对抗,与其展开战斗。

转载于:https://www.cnblogs.com/5321z/p/6665818.html

weixin_30817749
关注
[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
网络对抗技术-Exp4-恶意代码分析 20181314
weixin_46014245的博客
04-07 552
一、原理与实践说明 1.实践目标 2.实践内容概述 3.基础问题回答 二、实践过程记录 任务一:使用schtasks指令监控系统 任务二:使用sysmon工具监控系统 任务三:恶意软件分析 使用VirusTotal分析恶意软件 使用PEiD分析恶意软件 使用PE Explorer分析恶意软件 使用Process Monitor分析恶意软件 使用Process Explorer分析恶意软件 使用systracer分析恶意软件 使用Wireshark分析恶意软件 三、实验遇到的问题及解决方法 四、实验总结与体会
网络对抗技术 实验四 恶意代码技术
weixin_33716941的博客
10-23 93
学号 201421430027 中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 周一帆 年级 2014级 ...
渗透测试恶意代码分析
Zgnb173659的博客
07-31 725
恶意代码,也称之为恶意软件/恶意程序,在大多数计 算机入侵事件中扮演重要的角色。任何以某种方式来 对用户、计算机、或网络造成破坏的软件,都可以称 之为恶意代码,包括计算机病毒、木马、蠕虫、勒索 软件等。 恶意代码分析,重在分析,通过技术手段获取该程序 的内部结构及其功能实现;对于杀软,提取其特征码 进行查杀;对于取证,可能获得溯源的必要信息,如 IP,作者信息等。
恶意代码分析实战——反虚拟机技术对抗
aming小老弟
02-02 878
QQ 1274510382 Wechat JNZ_aming 商业联盟 QQ群538250800 技术搞事 QQ群599020441 解决方案 QQ群152889761 加入我们 QQ群649347320 共享学习 QQ群674240731 纪年科技aming 网络安全 ,深度学习,嵌入式,机器强化,生物智能,生命科学。 叮叮叮:产品已上线 —>关注 官方-微信公众号——济南纪年信息科技有限公司 民生项目:商城加盟/娱乐交友/创业商圈/外包兼职开发-项目发布/ 安全项目:态势感..
网络安全之恶意代码
热门推荐
学而思(xiejava的blog)
01-17 2万+
恶意代码是一种有害的计算机代码或 web 脚本,其设计目的是创建系统漏洞,并借以造成后门、安全隐患、信息和数据盗窃、以及其他对文件和计算机系统的潜在破坏。恶意代码不仅使企业和用户蒙受了巨大的经济损失,而且使国家的安全面临着严重威胁。1991年的海湾战争是美国第一次公开在实战中使用恶意代码攻击技术取得重大军事利益,从此恶意代码攻击成为信息战、网络战最重要的入侵手段之一。恶意代码问题无论从政治上、经济上、还是军事上,都成为信息安全面临的首要问题。让我们一起来认识一下恶意代码。 一、什么是恶意代码 恶意代码(Un
安全防御之恶意代码与防护技术
zzz6583zz的博客
08-14 917
恶意代码是指没有作用却会带来危险的代码。通常把未经授权便干扰或破坏计算机系统、网络功能的程序或代码(一组指令)称之为恶意程序。恶意程序包括计算机病毒、木马、蠕虫等。详见恶意代码的防范,不是单靠一种或几种技术就能解决的,而要靠技术、管理以及用户安全意识的共同防范,只有三者相结合才能最大程度地防止恶意代码对系统和用户信息的破坏。目前,恶意代码防范方法主要分为两方面:基于主机的恶意代码防范方法和基于网络恶意代码防范方法。
[当人工智能遇上安全] 14.借助大语言模型GPT-4辅助恶意代码动态分析
杨秀璋的专栏
04-26 1539
《当人工智能遇上安全》系列将详细介绍人工智能与安全相关的论文、实践,并分享各种案例。这篇文章将介绍由广东省智能信息处理重点实验室发布的一项研究成果——借助大语言模型GPT-4辅助恶意代码动态分析。基础性文章,希望对您有所帮助!
恶意代码分析实战课后习题分析
深度安全实验室
04-01 503
恶意代码分析实战课后习题分析
详解基于机器学习的恶意代码检测技术
华为云官方博客
02-25 4504
摘要:由于机器学习算法可以挖掘输入特征之间更深层次的联系,更加充分地利用恶意代码的信息,因此基于机器学习的恶意代码检测往往表现出较高的准确率,并且一定程度上可以对未知的恶意代码实现自动化的分析
基于异常检测技术恶意代码对抗样本识别.zip
04-12
恶意代码分析中,解析二进制文件可以帮助理解其内部结构和行为,为异常检测提供依据。 "src"目录通常包含了项目的源代码,这里可能包含了实现异常检测算法的Python脚本或者其他编程语言文件。通过阅读和理解这些...
统一端点管理(UEM)
ITmoster的博客
11-14 359
Endpoint Central是统一端点管理解决方案提供高度自动化和集成的 UEM 工具,可显著减少工作负载,使 IT 团队能够快速排除故障,提高生产力和安全性,并降低成本。
记录一次C盘存储空间被异常占用的排查
ajax_beijing_java的博客
11-14 77
解决方案:开始一直认为是程序往C盘里面写入了文件,才导致c盘的存储一直在增加,但是之前服务是部署在云下的。从来是没有出现过磁盘被占用的现象。于是,找到了镜像同事,镜像同事反馈这个2019的镜像是老镜像,他们替换了新的镜像。服务器也暂时使用了2016的镜像,做成2016的系统。发现c盘被占用空间的问题不再出现。场景:运维同事发现一台windows server 2019的服务器,本来部署的是大屏业务,但是不知道为啥,总是能发现c盘莫名其妙的生成一些日志信息。后来竟然慢慢将c盘给占满了。导致服务无法正常使用。
认识QT以及QT的环境搭建
m0_74099572的博客
11-11 993
Qt ⽀持多种开发⼯具,其中⽐较常⽤的开发⼯具有:Qt Creator、Visual Studio、Eclipse.其中:Qt Creator是官网提供的开发QT的IDE,这种对新手也比较友好,后续我们以Qt Creator演示为主Visual Studio开发QT功能强大,但是前期的配置比较麻烦,作为新手还是不太推荐。Eclipse现在已经停止维护了,不如前两种。关于QT的开发环境需要三个部分:1.一个C++编译器,这里的编译器是指gcc这种,不是指。
Linux操作系统
最新发布
qianshang233的博客
11-15 229
1.在/home中创建一个名为 file1.txt 的文件,并设置权限为:所有者和组成员可以读写,但其他人只能读。2.在 /home 目录下创建一个名为 shared 的子目录,使得所有用户都可以进入,读,写,该目录中文件。-d 给目录设置默认的acl权限,此时目录中所有新建的文件默认具备该acl权限。-k 清除默认acl权限,只会影响到新建的文件,已经有acl的文件不受影响。6.在/home中创建一个file2.txt,添加不可修改文件属性。Setfacl -m u:用户名:---(权限) 文件路径。
Linux项目自动化构建工具—make与makefile
菜鸟康的博客
11-14 603
例如,下面的Makefile文件,目标文件test的形成依赖于test.o文件,但是test.o文件不存在,所以寻找test.o文件的依赖关系,找到test.s文件,而test.s文件也不存在,再找test.s的依赖关系,就这么一层层找下去,直到找到最后一个文件的依赖关系,生成test.i文件,再一层层往上生成,所以看起来有点像一个堆栈的过程。Makefile带来的好处是“自动化编译”,一旦写好的话,只需要一个make命令,整个工程的完全自动编译,极大的提高了软件开发的效率。Makefile是一个文件。
什么是虚拟内存,为什么要使用虚拟内存,虚拟内存可能比物理内存大吗
m0_74343664的博客
11-15 165
是的,虚拟内存的大小可以大于物理内存的大小。实际上,操作系统通常会为每个进程分配一个虚拟地址空间,这个空间可以是几GB甚至是数十GB,具体取决于操作系统架构(32位或64位)和系统的配置。因此,程序的虚拟内存可以远远超过实际可用的物理内存。虚拟内存和物理内存之间的关系是相辅相成的。虚拟内存通过提供一个更大的、抽象的内存空间,使得程序能够在物理内存有限的情况下运行,同时也提高了内存管理的灵活性和安全性。
操作系统OS--进程
microlovw的博客
11-13 956
阻塞挂起状态,在内存严重不足的时候,代码和数据会换入到磁盘的swap分区,只有,取到数据进入运行队列的时候将数据换入,效率慢了,时间换空间。因为操作系统的底层是C语言写的,所以接口只能是C语言的接口,所有软件的底层,都必须和c直接或间接相关。命令行中,执行命令/执行程序,本质是bash的进程,创建的子进程了,由子进程执行我们的代码。使用系统调用,创建进程。对软硬件之间进行交互:对上要给用户提供一个稳定的,高效的,安全的运行环境(目的!对下软硬件资源的管理,稳定的,高效的,安全的,能进行良好的工作(手段)
IPv网络抗扫描特性与恶意移动代码分析
"IPv网络的抗扫描特性-恶意移动代码分析" 在当今的网络环境中,安全问题日益严重,其中恶意移动代码,如病毒、蠕虫和DDoS攻击,成为了一个重要的关注点。IPv6网络的出现,部分地是为了解决IPv4网络中的某些安全缺陷...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值