20145335郝昊《网络攻防》恶意代码分析

最新推荐文章于 2024-09-13 12:25:43 发布
最新推荐文章于 2024-09-13 12:25:43 发布
阅读量140 收藏
点赞数
文章标签: 运维 操作系统 网络
原文链接:http://www.cnblogs.com/20145335hh/p/6642020.html
版权

20145335郝昊《网络攻防》恶意代码分析

实验内容

  • 恶意代码的免杀和恶意代码的分析是相互对立的也是相互依托的,当对电脑中的恶意代码进行分析的过程,也就是对于恶意代码逃避查杀的过程,而恶意代码免杀也就是对于恶意代码的分析之后的结果,是否可以逃避查杀或者不能逃避查杀。

  • 本次实验用到了计算机病毒课上老师使用的一些软件,来分析和判断恶意代码的行为。

实验过程

利用计划任务分析

  • 每间隔3分钟对记录自己的电脑有哪些程序联网,连接的外部ip是哪都是可以使用计划任务查出来的

  • 首先使用命令C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"在c盘创建文件netstatlog.txt
    884698-20170330004507545-638940196.png

-显示创建成功后再对.txt文件进行加工,
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt三个命令进行修改。
884698-20170330004521420-652123430.png

  • 更改完后,我们在netstatlog.txt中会看到如下的输出,多了日期与时间,这样看起来更方便。一下是监控得到的一些信息。

884698-20170330004553264-1667991379.png

  • 后来发现在使用netstatlog查看时候出现了点小问题,其无法自动刷新新的数据,后来因为发现是在计划任务的时候需要将其任务添加为最高权限,这样一来就可以解决了。
    884698-20170330163056508-433183065.png
    884698-20170330163106164-622425626.png
利用VirSCAN分析
  • 首先可以使用上次实验免杀用到的网站VirSCAN
    884698-20170329215133154-1723630813.png
    884698-20170329215143436-231926612.png
    884698-20170329215151826-162407277.png

利用sysmon分析

  • 首先需要从老师的码云上提供的附件下载软件SysinternalsSuit201608

  • 之后使用命令sysmon -i安装软件(注意:安装软件的时候需要在管理员权限下
    884698-20170330105320233-326284626.png

  • 之后进行配置文件,首先会出现报错后经过蔡野同学的指导,需要将.xml文件的第一行版本号修改为3.10

  • 也可以使用sysmon -c来查看配置
    884698-20170330105332014-386741917.png

  • 之后使用命令sysmon启用软件,虽然cmd中显示打开错误,但是从windows下的事件查看器中可以查询的到。
    884698-20170330105344795-942802269.png
    884698-20170330105359998-366434703.png

  • 使用命令查看器进行筛选日志,不妨可以看出很多有我们熟悉的软件,事件查看器也看到了sysmon软件的行为。
    884698-20170330105413045-650749750.png
    884698-20170330105423170-1291507615.png

利用PE Explorer分析

  • 下图可以看出头文件的信息
    884698-20170329215201592-629963673.png

  • 下图可以看出头文件的指向操作信息
    884698-20170329215211436-2061761952.png

  • 还可以判断程序引入了哪些dll文件
    884698-20170329215225608-655779498.png

利用Dependency Walker

  • 主要功能如下:查看 PE 模块的导入模块.查看 PE 模块的导入和导出函数.动态剖析 PE 模块的模块依赖性.解析 C++ 函数名称.
    884698-20170329215415561-1113477061.png

利用SysTracer 分析

  • 使用实验二中的木马代码进行分析,文件名为5335.exe攻击机为kali虚拟机,被攻击主机为win7虚拟机。二者的ip地址为172.20.20.11172.20.10.12

  • 首先先执行一次快照

  • 之后回连kali虚拟机时候再次进行快照

  • 在kali虚拟机对靶机进行截图攻击的时候进行快照

  • 在kali虚拟机对靶机进行dir命令进行快照

  • 之后进行对比几次快照分析
    884698-20170330001141998-669867323.png
    884698-20170330001559733-1050952706.png

  • 相比之下使用dir命令和截图会有很大的差别,其他的也类似。(注意:其中蓝色红色绿色字体都是不一样的
    884698-20170330001207467-973544960.png
    884698-20170330001218436-1708161375.png

利用PEID分析

  • 使用PEID软件查询代码的壳:
    884698-20170329215457561-899139902.png

利用TCPView分析

  • TCPView使用方法:

      Windows下运行Tcpview.exe
  tcpvcon.exe为Tcpview.exe的命令行版本
  Tcpview.exe使用说明:
  使用方法:tcpvcon[-a][-c][-n][进程名称或PID]
  -a:显示所有端点(默认为显示已确定的TCP连接)。
  -c:打印输出为CSV对照文本。
  -n:不解析地址。

  • 解析结果

884698-20170329215444170-6221616.png

实验问答

  • 总结一下监控一个系统需要监控什么、用什么来监控

    答:监控一个系统需要监控其进程、注册表、端口、还有各种文件。使用一些读取程序的注册表、进程信息等软件,就如本文所列举的一些软件。

  • 如果在工作上怀疑一台主机上有恶意代码,请设计下准备如何找到,对应进程的相关文件。

    答:并对计算机的注册表,进程,端口,服务等内容进行检测,利用上述软件检测观察数据是否会有异常显现或数据,通过观察注册表,进程来检测是否会有恶意代码的存在。

心得体会

  • 本次实验恶意代码的分析是分了好久完成的,总的感觉来说这次的实验难度不大,但是却需要花费大量的时和精力仔细去分析每一个软件所捕获到的信息,不然本次实验最重要的环节分析就没有了。通过这次实验发现电脑也并没有想象中的那么安全,即使装了杀毒软件,电脑也会存在漏洞,结合上次的免杀实验和这次的恶意代码的分析,还是需要多多注意,再有做实验的时候真的要仔细,这次做实验遇到的几个问题都是由于疏忽导致输入错误了命令,浪费了大量到的时间,却还在寻找其他的问题,在分析的时候一些关键信息也被遗漏真实很耽误效率,下次需要注意。

转载于:https://www.cnblogs.com/20145335hh/p/6642020.html

weixin_30872789
关注
sysinternalssuite
12-04
Sysinternals Suite是微软发布的一套非常强大的免费工具程序集。我想介绍就不用多说了吧。用好Windows Sysinternals Suite里的工具,你将更有能力处理Windows的各种问题,而且不花一毛钱。 Sysinternals之前为Winternals公司提供的免费工具,Winternals原本是一间主力产品为系统复原与资料保护的公司,为了解决工程师平常在工作上遇到的各种问题,便开发出许多小工具。之后他们将这些工具集合起来称为Sysinternals,并放在网路供人免费下载,其中也包含部分工具的原始码,一直以来都颇受IT专家社群的好评!
Sysinternals Suite
01-22
Sysinternals 2018版 The Sysinternals utilities cover a broad range of functionality across many aspects of the Windows operating system. While some of the more comprehensive utilities such as Process Explorer and Process Monitor span several categories of operations, others can more or less be grouped within a single category, such as “process utilities” or “file utilities.” Many of the utilities have a graphical user interface (GUI), while others are console utilities with rich command-line interfaces designed for automation.
微软工具包Windows Sysinternals Suite简介
狂奔之林的博客
11-11 5407
工具包由来 Sysinternals Suite是微软发布的一套非常强大的免费工具程序集,一共包括74个windows工具。 Sysinternals是Winternals公司提供的免费工具,Winternals公司原本主力研发系统复原与资料保护,为了解决工程师平常在工作上遇到的各种问题,便开发出许多小工具,之后他们将这些工具集合起来称为Sysinternals。 前段时间很火的3Q大战中用来查看腾讯是否扫描用户硬盘的Process Monitor就是其中的优秀代表。 工具包简介 本文把这套工具包里的
你会用SysinternalsSuite诊断你的windows系统吗
weixin_34128411的博客
04-03 605
Sysinternals 下载地址: [url]http://wt.7edown.com/green/SysinternalsSuite.rar[/url] sysinternals 的网站创立于1996年由Mark russinovich和布赖科格斯韦尔主办其先进的系统工具和技术资料.微软于2006年7月收购sysinternals公司 . 不管你是一个IT高级工作者还...
SysinternalsSuite 中了解的小工具介绍
一杯咖啡的渗透记忆
03-15 1695
具体的介绍可以看下面的链接:https://download.csdn.net/download/m0_37268841/10288518
DIG:Dive into Graphs是用于图深度学习研究的交钥匙库。-Python开发
05-25
DIG:用于图深度学习研究的总库,刘萌*,罗有志*,王丽梅*,谢耀辰*,郝昊*,桂树瑞,赵旭,余海阳,张静屯,刘毅,严克强,宝拉·奥兹特金(Bora Oztekin),刘浩然(Haoran Liu),张璇,丛聪(Cong Fu)和姬水旺...
Sysinternals Suite 2018.07.18
唐古拉山的专栏
07-22 444
https://docs.microsoft.com/zh-cn/sysinternals/ 最新: https://download.sysinternals.com/files/SysinternalsSuite.zip 下面地址可能不是最新: http://live.sysinternals.com/Files/SysinternalsSuite.zip    ...
SysinternalsSuite - 操作整理
谢绝留言与私信
05-06 1705
SysinternalsSuite - 操作整理 前言 以前使用SysinternalsSuite,只是简单用一下。 今天看到资料,是SysinternalsSuite作者出的。对SysinternalsSuite的细节用法有了进一步了解。 笔记 实验环境 win10 21H2 + SysinternalsSuite 2022 环境变量 将SysinternalsSuite的路径加入环境变量,工具包中有些命令行程序需要在cmd窗口中执行。 命令行程序加 --help 可以看到细节用法。 在cmd窗口中打开一
SysinternalsSuite本地提权&&提权进程注入学习
永不垂头的博客
08-26 415
SysinternalsSuite本地提权&&提权进程注入学习 文章目录SysinternalsSuite本地提权&&提权进程注入学习一、SysinternalsSuite本地提权二、提权进程注入学习三、我的公众号 一、SysinternalsSuite本地提权 下载网址:https://docs.microsoft.com/zhcn/sysinternals/downloads/sysinternals-suite 找到kali中的whoami.exe放到web练
如何解析域名到网站?
聚名网
09-11 392
用户通过输入易于记忆的域名来访问网站,而背后则是复杂的域名解析机制将域名转换为服务器的IP地址,使得浏览器能够找到并加载目标网站。顶级域名服务器:顶级域名服务器会返回负责该域名的权威DNS服务器的地址。返回结果:一旦本地DNS服务器获得了IP地址,它会将该信息缓存一段时间(TTL,生存时间),然后将结果返回给用户的浏览器。用户输入域名:当用户在浏览器中输入一个域名并按下回车键时,浏览器会检查本地缓存,查看是否已经存储了该域名的IP地址。权威DNS服务器:存储特定域名的DNS记录,提供最终的IP地址。
SQL server 日常运维命令
2301_76664379的博客
09-10 1574
【代码】SQL server 日常运维命令。
Linux常用命令速查手册
敲代码别忘了喝上一杯凉白开。
09-08 293
本文汇总了一系列实用的Linux命令,适用于日常开发和系统管理。首先,展示了如何新增用户及其配置、使用 `tar` 解压文件,以及安装和使用 `zip` 工具进行文件压缩和解压。此外,还包括在macOS中查看端口占用的命令和通过 `TOP` 命令切换内存显示单位的技巧。接着,介绍了如何使用 `Base64` 进行字符串编码,以及快速创建多个文件夹并从Docker容器中复制文件的方法。这些命令对于提高工作效率和管理Linux系统至关重要,尤其适合开发者和系统管理员快速查阅和使用。
mycat双主高可用架构部署-mycat安装
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
09-08 955
mycat双主高可用架构部署-mycat安装
nginx 使用篇 配置
2302_77426533的博客
09-09 1304
nginx的配置 在conf目录下的nginx.conf文件nginx.conf文件 主要分为三部分①全局配置:配置一些全局属性: 这个指令设置了每个worker进程能够同时开启的最大连接数③http配置 :配置http的相关配置二、nginx使用基本命令1.启动:双击nginx.exe或者打开cmd命令窗口,切换到nginx解压目录下,输入命令nginx.exe,回车即可2.关闭(1)输入nginx命令(快速停止nginx) 或(完整有序的停止nginx)(2)使用taskkill。
linux运维常见命令行
wendao76的专栏
09-09 1704
linux常用命令行,用户管理,文件管理, 磁盘管理, 网络管里,进程管理等等
Ruoyi Cloud 本地启动
maplecsd的博客
09-09 2141
参考 http://doc.ruoyi.vip/ https://gitee.com/y_project/RuoYi-Cloud https://blog.csdn.net/cs_dnzk/article/details/135289966 https://doc.ruoyi.vip/ruoyi-cloud/cloud/seata.html#%E5%9F%BA%E6%9C%AC%E4%BB%8B%E7%BB%8D 拉取代码本地跑通 用 git 从 ruoyi 微服务版仓库拉取代码:https://gitee
最新版微服务项目搭建
m0_46606920的博客
09-08 1275
最新版微服务搭建,使用nacos,redis,mongodb,gateway,openfeign等技术
私有云 centos7 yum 找不到源
yangziqi098的博客
09-12 174
私有云 centos7 yum 找不到源
安徽省农行三级网扁平化运维案例:监控易助力实现高效链路监测与一体化运维
最新发布
MXsoft618的博客
09-13 392
通过拓扑图链路监管、自动巡检、定向告警等功能的应用,监控易为安徽省农行提供了高效、稳定的运维管理解决方案,助力其实现了业务系统的稳定运行和运维效率的提升。这些网点之间以及与外部运营商之间的链路错综复杂,如何确保这些链路的稳定运行,成为运维管理的关键。此外,安徽省农行还需要对所有网点进行一体化运维管理,实时监控网络配置和变更,及时发现设备隐患,提高运维效率。为了提升运维效率,确保业务系统的稳定运行,安徽省农行选择了监控易作为其运维管理的核心平台,成功实现了三级网扁平化运维改造。
强化学习与模糊逻辑结合的异构蜂窝网络容量与覆盖优化
"这篇论文探讨了在异构蜂窝网络中,如何通过基于FQLC(模糊逻辑与Q学习算法的融合)的自优化控制系统解决微蜂窝密集部署带来的容量与覆盖问题。研究背景是4G/5G时代,随着网络密度增加,微蜂窝部署的不规则性对网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值