2019-2020-2 20175212童皓桢《网络对抗技术》
Exp1 恶意代码分析
目录
1. 实验目标
- 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。
- 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
- 1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
2. 实验内容
2.1 系统运行监控
2.1.1 Windows计划任务schtasks
-
要求:
- 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包
-
具体步骤
-
使用以下命令创建一个计划任务netstat5212:
schtasks /create /TN netstat5212 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
-
其中
TN
:填写TaskName,即任务名
sc
:为计时方式,我们填MINUTE
TR
:为Task Run,即运行netstat
bn
:b为打印可执行文件名,n表示不进行转码,用数字打印IP和端口
>
:输出重定向,表示将输出存于该txt中
-
-
在C的根目录中创建netstat5212.bat脚本文件,具体内容为:
date /t >> c:\netstat5212.txt time /t >> c:\netstat5212.txt netstat -bn >> c:\netstat5212.txt
-
在
任务计划程序
中,双击刚才建立的任务netstat5212
。
-
在
常规
中选择使用最高权限运行,防止记录时弹窗报错
-
在操作选项中编辑启
-