20155310 《网络攻防》Exp4 恶意代码分析

最新推荐文章于 2025-09-13 19:07:06 发布
转载 最新推荐文章于 2025-09-13 19:07:06 发布 · 119 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/m20155310/p/8874715.html
文章标签:

#运维 #操作系统

本文介绍了一种通过系统监控和工具辅助的方法来进行恶意代码分析的过程。包括使用计划任务记录网络连接情况,利用sysmon监控可疑行为,并通过virscan、systracer、Wireshark等工具深入分析疑似恶意程序。

20155310 《网络攻防》Exp4 恶意代码分析

基础问题

1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

(1)使用计划任务,指定每隔一定时间记录主机的网络连接情况。

(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为,在事件查看器里找到相关日志文件便可以查看。

2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
(1)使用virscan分析可疑程序,分析文件行为。

(2)使用systracer工具,比对前后区别,动态分析注册表修改情况和文件修改情况等,分析原因。

(3)使用Wireshark进行抓包分析,查看该程序传输了哪些数据。

(4)使用TCPView查看可疑连接。

实践内容

系统运行监控

•使用计划任务,每隔2分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。
1073034-20180418144015075-854119736.png
•在C盘要目录下建一个文件c:\netstatlog.bat
1073034-20180418144029606-812084956.png
•先创建一个.exe文件,内容为
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

•保存后修改文件名为“netstatlog.bat”;
•运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么。
1073034-20180418144214333-2008472298.png

•经分析主要有vmware-authd,vmware,WeChat,thunderplatform,svchost.exe等等,
安装配置sysinternals里的sysmon工具

设置合理的配置文件,监控自己主机的重点事可疑行为。
•sysmon微软Sysinternals套件中的一个工具,可以从码云项目的附件里进行下载,要使用sysmon工具配置文件Sysmoncfg.xml
1073034-20180418144811907-1407714453.png
•配置好文件之后,使用sysmon -accepteula -i -n和sysmon -c Sysmoncfg.xml进行安装:
1073034-20180418144831558-787531311.png
•打开事件查看器,如下图:
1073034-20180418144837196-1649121122.png
•查看部分事件的详细信息
•临时文件(APP缓存数据)
1073034-20180418144845656-1388377758.png
•使用微信
1073034-20180418145114390-1525943022.png
•使用kali进行后门回连
1073034-20180418145336647-540841155.png
•sysmon立即捕捉到后门程序的运动
1073034-20180418145401936-1267415349.png
1073034-20180418145532886-614507811.png
恶意软件分析

Systracer
•首先我们进行下载,安装
•windows什么都不运行
1073034-20180418150329015-1891299503.png

•尝试回连
1073034-20180418150338161-590008562.png

•kali输入dir
1073034-20180418150344793-1905996296.png

转载于:https://www.cnblogs.com/m20155310/p/8874715.html

[网络安全自学篇] 八十七.恶意代码检测技术详解及总结
杨秀璋的专栏
07-16 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了威胁情报分析,通过Python抓取FreeBuf网站“APT”主题的相关文章。这篇文章将详细总结恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。基础性文章,希望对您有所帮助~
[网络安全自学篇] 八十八.基于机器学习的恶意代码检测技术详解
热门推荐
杨秀璋的专栏
07-19 2万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了传统的恶意代码检测技术,包括恶意代码检测的对象和策略、特征值检测技术、校验和检测技术、启发式扫描技术、虚拟机检测技术和主动防御技术。这篇文章将介绍基于机器学习的恶意代码检测技术,主要参考郑师兄的视频总结,包括机器学习概述与算法举例、基于机器学习方法的恶意代码检测、机器学习算法在工业界的应用。同时,我再结合自己的经验进行扩充,详细分享了基于机器学习的恶意代码检测技术,基础性文章,希望对
恶意代码分析实战-x86反汇编速成班
weixin_30516243的博客
01-11 271
x86反汇编速成 x86体系结构 3种硬件构成: 中央处理器:负责执行代码 内存(RAM):负责存储所有的数据和代码 输入/输出系统(I/O):为硬盘、键盘、显示器等设备提供接口 内存 一个程序的内存可以分为以下四个主要的节: 栈:栈用于函数的局部变量和参数,以及控制程序执行流。 堆:堆是为程序执行期间需要的动态内存准备的,用于创建(分配)新的值,以及消除(释放)不再需要的值。 代...
20155318 《网络攻防Exp4 恶意代码分析
04-17 192
20155318 《网络攻防Exp4 恶意代码分析 基础问题 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 用sysmon软件进行监测,它会将运行的程序以日记的方式记录下来查看有无恶意代码在运行。 可以使用systracer注册表分析方法进行,恶意代码入侵前后分别拍摄快照。 用wiresh...
20155330 《网络攻防Exp4 恶意代码分析
weixin_30649859的博客
04-17 168
20155330 《网络攻防Exp4 恶意代码分析 实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 使用Windows自带的schtasks指令设置一个计划任务,指定每隔一定时间记录主机的联网记录或端口开放、注册表信息等; 通过sysmon工具,配置需要记录事件的文件,之后在事件...
20155321 《网络攻防Exp4 恶意代码分析
weixin_30449239的博客
04-16 100
20155321 《网络攻防Exp4 恶意代码分析 计划任务监控 在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下: date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstat...
20155334网络攻防Exp4 恶意代码分析
weixin_30340353的博客
04-18 104
网络攻防Exp4 恶意代码分析 一、实验问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 可以使用工具监测系统,之后进行下一步分析。 在windows下建立一个监测本机连接ip地址的任务计划程序。 通过sysmon监控重要操作,并找到日志查看。 如果已经确定是某个程序或进程有问题,你有什么...
20194307肖江宇Exp-4 恶意代码分析
MYRLY的博客
04-11 4659
文章目录2094307肖江宇Exp-4 恶意代码分析一、实践目标1.1 系统运行监控1.2 恶意软件分析1.3 未来设想二、实践内容2.1 系统运行监控—任务计划(1) 写好脚本(实际上就是命令行语句)(2)用命令行创建一个计划任务(3)打开任务计划程序(4)在常规中选择使用最高权限运行,在条件中关闭电源限制(5)在操作栏清空参数,选择批处理文件(6)等待一段时间后就可以得到想要的数据了(7)收集了较多数据后,停止任务,将所得数据在excel中进行分析(8)分析结果 2094307肖江宇Exp-4 恶意代码
20155235 《网络攻防》 实验四 恶意代码分析
weixin_30266829的博客
04-18 336
20155235 《网络攻防》 实验四 恶意代码分析 实验目的 是监控你自己系统的运行状态,看有没有可疑的程序在运行。 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好...
SSH服务恶意代码分析
DuishengChen的专栏
01-28 2499
SSH服务恶意代码分析摘要:本文介绍一个ssh服务的恶意代码,该恶意代码为本人管理阿里云服务器时偶然发现,研究源码感觉存在较大的隐蔽性和安全隐患,因此写此博客记录之。正文: 初探:昨天检查实验室阿里云服务器/etc/passwd 文件存在提权用户Redistoor,初步怀疑系统被入侵。先不管,先把这个用户给禁用。查看rc.local系统自启动文件发现可疑启动项/tmp/minerd –XXXXX,可
goby poc or exp,分享goby最新网络安全漏洞检测或利用代码.zip
04-22
"goby poc or exp"是指针对goby平台的漏洞证明概念(Proof of Concept, PoC)或攻击exploit,这通常是安全研究人员为了揭示系统弱点或开发攻防工具而编写的代码。本篇将深入探讨goby平台的最新网络安全漏洞及其检测...
《Linux运维总结:Redis7.4.5哨兵集群开启ACL并配置用户》
东城绝神
09-12 591
《Linux运维总结:Redis7.4.5哨兵集群开启ACL并配置用户》
docke笔记下篇
最新发布
二月鸟
09-13 598
搜索镜像拉取镜像查看镜像启动镜像 - 服务端口映射停止容器移除容器从应用软件的角度来看,Dockerfile、Docker镜像与Docker容器分别代表软件的三个不同阶段,● Dockerfile是软件的原材料● Docker镜像是软件的交付品● Docker容器则可以认为是软件镜像的运行态,也即依照镜像运行的容器实例Dockerfile面向开发,Docker镜像成为交付标准,Docker容器则涉及部署与运维,三者缺一不可,合力充当Docker体系的基石。
LVS负载均衡群集与Keepalived高可用
m0_46460826的博客
09-11 738
在当今的互联网时代,随着业务的快速发展,用户访问量呈现爆炸式增长。为了应对这种高并发的访问需求,确保网站或应用的稳定性、可靠性和高性能,负载均衡技术应运而生。负载均衡(Load Balancing)是一种将网络流量或计算任务分配到多个服务器上的技术,旨在优化资源利用、最大化吞吐量、最小化响应时间,并避免任何单一资源的过载。在众多负载均衡解决方案中,LVS(Linux Virtual Server)和Keepalived凭借其高性能、高可用性和灵活性,成为了企业级应用中的热门选择。
详细的vmware虚拟机安装教程
dhyuan_88的博客
09-09 971
开机:在 Player 主界面选中虚拟机,点击“播放虚拟机”。关机:在虚拟机的操作系统内部,像普通电脑一样点击“开始”->“电源”->“关机”。不要直接点击窗口上的叉号,那相当于强制断电。暂停:点击“暂停”按钮可以快速暂停/恢复虚拟机状态。全屏模式:按可以进入/退出全屏。释放鼠标:在虚拟机内操作后,鼠标会被“捕获”,按Ctrl + Alt可以将鼠标释放回物理机。
RocketMQ 高可用集群原理深度解析与性能优化实践指南
qq_35716689的博客
09-13 562
本文深入解析 RocketMQ 高可用集群的原理,探讨主备选举、消息存储与路由流程,并结合真实业务场景提供性能优化实践建议和丰富的代码示例,帮助开发者构建高效稳定的消息系统。
秋日私语:一片落叶,一个智能的温暖陪伴
2501_92680371的博客
09-10 970
当秋风吹拂,落叶翩跹,繁华的城市也悄然披上金黄的外衣。然而,在这份诗意背后,是清洁伙伴们默默付出的辛劳,是清洁效率与成本的现实考量。
JAVA高级工程师--Redis持久化详细版
heni6560的博客
09-11 1003
Redis数据库模式与持久化机制:单机模式默认16个逻辑数据库(可配置),集群模式仅支持DB0。持久化方式包括RDB(快照备份,性能高但可能丢数据)和AOF(日志追加,数据更安全但文件较大)。RDB适合全量备份,AOF提供秒级备份。推荐生产环境同时启用两种方式,利用RDB快速恢复和AOF数据完整性。AOF支持重写机制压缩文件,4.x后新增混合持久化功能。损坏的AOF可通过redis-check-aof工具修复。根据业务场景(读写比例、数据重要性)选择合适的持久化策略。
在ubuntu系统中如何将docker安装在指定目录
当 AI 开始写文章、绘星空,甚至预测未来,您还在旁观吗?这里将剖开人工智能的思考逻辑,拆解 AI 创作的底层密码,也聊聊人工智能里的人文温度。每篇都有让你拍案的细节,快来解锁 AI 时代的神奇世界!
09-10 458
在 Ubuntu 系统中,Docker 默认安装路径(程序文件)通常在/usr/bin等系统目录,而核心数据(镜像、容器、卷等)默认存储在。若需将。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值