恶意软件样本行为分析——Process Monitor和Wireshark

已于 2023-12-21 23:50:29 修改
阅读量1.4k 收藏 20
点赞数 31
分类专栏: 软件安全 文章标签: php 服务器 网络 网络安全 安全
于 2023-12-21 23:40:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49816179/article/details/135142741
版权

1.1 实验名称

恶意软件样本行为分析

1.2 实验目的

1)     熟悉 Process Monitor  的使用

2)     熟悉抓包工具 Wireshark  的使用

3)    VMware  的熟悉和使用

4)     灰鸽子木马的行为分析

1.3 实验步骤及内容

第一阶段:熟悉 Process Monitor 的使用

利用 Process Monitor  监视 WinRAR  的解压缩过程。

利用 Process Monitor  分析 WinRAR  的临时文件存放在哪个文件夹中。

WinRAR  压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭

打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用 Process Monitor  分析上述两种方式的异同点。

第二阶段:熟悉抓包工具 Wireshark 的使用

熟悉 Wireshark  软件的使用,着重掌握 Wireshark  的过滤器使用。

使用 Wireshark  抓取登录珞珈山水 BBS  的数据包,并通过分析数据包获得用户名和 密码。

第三阶段:VMware 的熟悉和使用

着重掌握 VMware  的网络设置方式,主要有 NAT  连接、桥接和 Host-Only  模式。 配置自己的木马分析环境。

第四阶段:灰鸽子木马的行为分析

熟悉灰鸽子木马的使用,利用灰鸽子木马控制虚拟机。

利用 Process Monitor  监控感染灰鸽子木马的被控端的文件行为和注册表行为。 利用 Wireshark  监控灰鸽子木马与控制端的网络通信。

提出灰鸽子木马的清除方案。

第五阶段:思考与实践

尝试对大白鲨木马或 PCShare  木马进行行为分析。

1.4 实验关键过程、数据及其分析

1.4.1  熟悉 Process Monitor 的使用

首先利用 Process Monitor 监视 WinRAR 的解压缩过程。打开软件 Process Monitor,并点击 filter。在弹出的对话框中 Architecture 下拉框,选择 Process Name 填写要分析的应用程序名字,点击 Add 添加、Apply 应用。这里也可以增加 其他过滤规则。

接着测试解压实验工具中的 rar 压缩包,同时检 Process Monitor 的监控 信息,可以发现成功捕获到了 WinRAR 解压缩过程。

接下来利用 Process Monitor 分析 WinRAR 的临时文件存放在哪个文件夹中。

通过查看创建文件的操作对进程过滤,可以发现 WinRAR 相关的文件开启进 程操作,进而发现临时路径,右键 jump to,跳转到该路径。

可 以 看 到 WinRAR  的 解 压 缩 临 时 路 径 是 : C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$DIb0.604。

WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件, 再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。 利用 Process Monitor 分析上述两种方式的异同点。

测试先关闭文件,再关闭压缩包,Process Monitor 检测情况如下:

测试先关闭压缩包,再关闭文件,Process Monitor 检测情况如下:

实验结果显示文件是.txt 时两种方式没有明显的区别。但是当文件是 word 类型,如果先关闭压缩包再关闭 word 文档会导致文件存储失败。

1.4.2 熟悉抓包工具 Wireshark 的使用

Wireshark 是目前全球使用最广泛的开源抓包软件,其前身为 Ethereal,是 一个通用的网络数据嗅探器和协议分析器 。如果是网络工程师 ,可以通过 Wireshark 对网络进行故障定位和排错;如果安全工程师,可以通过 Wireshark

对网络黑客渗透攻击进行快速定位并找出攻击源。

首先进入 Wireshark 主界面选择以太网,点击 start 开始抓包。

接着使用 Wireshark 抓取登录珞珈山水 BBS 的数据包,并通过分析数据包 获得用户名和密码。打开武汉大学 BBS 网站,利用 Wireshark 捕获数据包,对捕 获到的数据包进行过滤,看是否可以得到用户名和密码。

当输入用户名和密码,点击登录,可以看到 Wireshark 软件捕获到了很多流 量信息。

然后,我们需要通过过滤器获取 HTTP 协议且与该 IP 地址相关的信息。当我 们拿到一个网站,需要对其信息进行查询,包括 IP 地址、端口扫描等,这里通 过站长之家获取 IP 地址,再在 Wireshark 软件中过滤与该 IP 相关的流量信息。

接 着 配 置 Wireshark  的 过 滤         http  and

ip.addr==218.197.148.129”,仅抓取指定的包如下:

发现内容还是很多。进一步过滤“http and ip.addr==218.197.148.129 and http.request.method== POST ””

可以看到我们刚才登录时输入的账号(lmy)密码(123.com)全部出现。

Hellespontus
关注
  • 31
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
恶意软件样本行为分析——Process MonitorWireshark_process monitor抓包(1)
2401_84264583的博客
04-29 603
恶意软件样本行为分析实验目的2) 熟悉抓包工具 Wireshark 的使用3) VMware 的熟悉和使用4) 灰鸽子木马的行为分析实验步骤及内容第一阶段:熟悉的使用利用 Process Monitor 监视 WinRAR 的解压缩过程。利用 Process Monitor 分析 WinRAR 的临时文件存放在哪个文件夹中。WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭打开的压缩包。
恶意软件分析资料大合集
我在全球村
05-31 2552
在研究malware移除的过程中,发现了下面的一些病毒软件分析资料,整理收藏过来,分享给需要的人。 这个列表记录了非常多的恶意软件分析工具和资源。可以根据需要点击链接进入了解详情。 恶意软件集合 匿名代理 蜜罐 恶意软件样本库 开源威胁情报 工具 其他资源 检测与分类 在线扫描与沙盒 域名分析 浏览器恶意软件 文档和 Shellcode 文件提取 去混...
恶意流量和恶意代码-结合 Wireshark 处理和分析(续)
10-22
对应我的博文《网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(二)》 博文的地址:https://angxiao.blog.csdn.net/article/details/120307285
如何利用沙箱进行恶意软件分析
瓦罗兰特顶级C位的博客
03-09 605
恶意软件分析是研究恶意样本的过程。在研究过程中,研究人员的目标是了解恶意程序的类型、功能、代码和潜在危险。接收组织需要响应入侵的信息。
恶意样本分析实战——SmokeLoader
weixin_51409218的博客
08-29 233
恶意样本分析实战——SmokeLoader
Process Monitor工具使用实验(23)
yyj1781572的博客
03-07 2537
本实验主要介绍了ProcessMonitor工具的使用,通过本实验的学习,你能够学会Process Monitor实用小工具的使用,学会如何利用Process Monitor工具观察程序进程/线程、文件系统、注册表、网络连接等。
恶意软件样本行为分析——Process MonitorWireshark_process monitor抓包
2401_84267735的博客
05-02 12
WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用 Process Monitor 分析上述两种方式的异同点。第二阶段:熟悉抓包工具的使用熟悉 Wireshark 软件的使用,着重掌握 Wireshark 的过滤器使用。使用 Wireshark 抓取登录珞珈山水 BBS 的数据包,并通过分析数据包获得用户名和 密码。的熟悉和使用。
恶意软件样本行为分析——Process MonitorWireshark_process monitor抓包(2)
2401_84297035的博客
05-09 276
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
恶意软件样本行为分析——灰鸽子和大白鲨
weixin_49816179的博客
12-21 1300
进行了灰鸽子木马制作和行为分析,并用相似方法对大白鲨木马也进行了探究。
恶意流量和恶意代码-结合 Wireshark 处理和分析
10-22
对应我的博文《网络空间安全 恶意流量和恶意代码 结合Wireshark初步分析(一)》 博文的地址:https://angxiao.blog.csdn.net/article/details/120241395
东南大学网络测量课程研讨——网络分析工具Wireshark
07-12
此资源包含研讨PPT
Wireshark网络封包分析软件
03-06
Wireshark 是一款网络封包分析软件。它可以用于捕获和分析计算机网络中传输的数据包,帮助用户深入了解网络通信和故障排除。Wireshark 提供直观的图形界面,并支持多种协议的解析,如 Ethernet、TCP、UDP、HTTP 等。...
网络封包分析软件:Wireshark3.2.2.zip
08-26
Wireshark 3.2.2 是网络分析领域中的重要工具,提供了丰富的功能和细节,使得网络分析变得更为深入和直观。无论是网络工程师、系统管理员还是安全专家,都可以从 Wireshark 中获得有价值的信息和洞察。 主要特点: ...
基于AI的恶意软件分析技术(3)
山楂的博客
05-05 6877
2020年一篇综述:基于AI的恶意软件检测和分类研究的发展、趋势和挑战
linux 阿里云服务器安装ImageMagick和php扩展imagick
qq_54039576的博客
05-27 326
我的服务器默认是php.7.4.3 , 改完php -m 是找不到imagick的,实际上没对应php版本解锁,Alibaba Cloud Linux 3.2104 LTS 64位。就所有php.ini全改一遍, 再重启一遍apache和数据库。#寻找所有php.ini文件。
Steamdeck使用Windows系统游玩雪地奔驰时闪退问题解决方法
最新发布
fxalll的博客
05-28 377
在github正好有一个叫dxvk的库,能够基于vulkan实现d3d11,因此我们访问https://github.com/doitsujin/dxvk,从 Releases下载dxvk-2.3.1.tar.gz(当前最新版本),解压压缩包,在x64 目录中获取 dxgi.dll 和 d3d11.dll,并将两个dll文件放进Snowrunner.exe根目录所在的位置,再次启动游戏,游戏果然正常运行了。因此我自己分析终于解决该问题。困扰我两天的问题终于解决了,也算这个小众游戏全网的第一个解决方案吧。
HackTheBox-Machines--Popcorn
七天
05-28 478
Popcorn 测试过程。
智能的PHP开发工具PhpStorm v2024.1全新发布——支持PHPUnit 11.0
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
05-24 666
PhpStorm 发布了今年第一个重大更新v2024.1,此版本支持PHPUnit 11.0、使用本地AI进行全行代码补全,欢迎下载最新版体验!
wireshark如何分析恶意用户
03-22
Wireshark可以通过捕获网络流量并分析数据包来检测恶意用户。首先,使用Wireshark捕获网络流量,然后使用过滤器来查找可疑的数据包。可以使用Wireshark的统计功能来查找异常流量模式,例如大量的数据包发送或接收。还可以使用Wireshark的协议分析功能来查找恶意软件使用的特定协议或端口。最后,可以使用Wireshark的报告功能来生成报告并将其提交给安全团队进行进一步分析和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值