本文详述了对恶意代码进行分析的实验过程,包括使用schtasks和sysmon工具监控系统运行状态,以及静态分析和动态分析恶意软件的方法。通过对计划任务记录和sysmon日志的分析,了解了系统中程序的网络行为。此外,还探讨了如何在怀疑存在恶意代码时监控系统,并在确定问题程序后进行深入分析的策略。
2019-2020-2 20175212童皓桢《网络对抗技术》
Exp1 恶意代码分析
目录
1. 实验目标
- 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。
- 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
- 1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
2. 实验内容
2.1 系统运行监控
2.1.1 Windows计划任务schtasks
-
要求:
- 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包
-
具体步骤
-
使用以下命令创建一个计划任务netstat5212:
schtasks /create /TN netstat5212 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"-
其中
TN:填写TaskName,即任务名
sc:为计时方式,我们填MINUTE
TR:为Task Run,即运行netstat
bn:b为打印可执行文件名,n表示不进行转码,用数字打印IP和端口
>:输出重定向,表示将输出存于该txt中
-
-
在C的根目录中创建netstat5212.bat脚本文件,具体内容为:
date /t >> c:\netstat5212.txt time /t >> c:\netstat5212.txt netstat -bn >> c:\netstat5212.txt -
在
任务计划程序中,双击刚才建立的任务netstat5212。
-
在
常规中选择使用最高权限运行,防止记录时弹窗报错
-
在操作选项中编辑启
-
最低0.47元/天 解锁文章
1533
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
