20155222卢梓杰 实验四 恶意代码分析

最新推荐文章于 2025-08-16 23:44:34 发布
最新推荐文章于 2025-08-16 23:44:34 发布
阅读量127 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 操作系统 python
原文链接:http://www.cnblogs.com/20155222lzj/p/8870263.html
本文介绍了一种通过批处理脚本和sysmon工具监控系统运行情况的方法,并利用ProcessExplorer观察恶意程序行为。首先,通过定时批处理脚本记录网络连接状态;其次,利用sysmon配置文件监控系统事件;最后,借助ProcessExplorer定位恶意程序。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验四 恶意代码分析

1.系统运行监控

实验步骤如下

  • 1.使用批处理监控程序连接网络的状况
    在C盘要目录下建一个文件c:\netstatlog.bat,内容如下:
    date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt
    创建计划任务
    C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn >> c:\netstatlog.bat"
    1073649-20180417105416627-231164519.png
    1073649-20180417105450137-1973265089.png
    1073649-20180417105912428-291575415.png
    一段时间后,开始分析产生的数据,尴尬的是不太会用excel,于是先用python对数据进行处理再导入到excel中
    f = open("C:\\netstatlog.txt") s = f.read() lines = s.split("\n") dict = {} for line in lines: if line.find("exe")>0: line = line[2:-1] if dict.get(line) == None: dict[line] = 1 else: dict[line] += 1 d = open("C:\\a.xls","w") for key in dict: result = key result += "\t" result += str(dict[key]) result += "\n" d.write(result)
    就成了这样。
    1073649-20180417110259336-1830293675.png
    1073649-20180417112150088-1699110609.png

  • 2.使用sysmon工具监控系统运行

    • 1.修改配置文件
      ```


      *




      microsoft
      windows


      chrome.exe
      iexplorer.exe
      137
      127.0.0.1


      explorer.exe
      svchost.exe
      winlogon.exe
      powershell.exe



      保存配置 sysmon.exe -c config_file_name 启动服务 sysmon.exe -i config_file_name ```

    • 2.查看事件日志

    1073649-20180417114644994-1463107809.png
    • 3.观测恶意程序
      1073649-20180417182815932-142449973.png
      可以看出后门迁移到了explorer进程中

  • 3.Process Explorer
    1073649-20180417191552041-1127020277.png

转载于:https://www.cnblogs.com/20155222lzj/p/8870263.html

陈梓杰问题1
08-03
在使用ESKF时,这些参数作为常数处理是合理的,但其效果需要通过实验验证。 对于阅读Cartographer代码,这取决于个人的学习目标。如果你对SLAM(Simultaneous Localization And Mapping)或全局定位有兴趣,那么它...
陈梓杰 的问题1
08-03
在不确定的情况下,查看驱动程序的文档或源代码是最可靠的方法。 3. **融合传感器数据的时间选择**:在融合传感器数据时,通常采用的是传感器的采样时间,因为这能够准确反映数据生成的瞬间状态。采样结束时间可能...
实验恶意代码分析
weixin_33712881的博客
10-24 358
学号:201421440036 中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验 恶意代码技术 学生姓名 喀依拉 年级 2014 ...
《网络攻防》实验恶意代码分析
weixin_33736649的博客
04-02 1060
 《网络攻防》实验恶意代码分析 小生有感 安装360,到底是“伺虎在侧”还是“御虎在侧”?从目前网络主流舆论和周围同学的看法看,还是前者居多。虽然我没经历过3721支配的恐惧,但这个360的前生,确实被很多人痛骂唾弃过。有人说,现在360就是走3721的老路,从一个方便的好工具,野蛮生长,疯狂无底线,誓要完成像木马的“华丽蜕变”。以上的话,是危言耸听、杞人忧天还是警示恒言,抱歉,我看不清。但不...
实验报告
weixin_33968104的博客
10-16 319
中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验 恶意代码技术 学生姓名 王德伸   年级 2015 区队 区 指导...
20155333 《网络对抗》Exp4 恶意代码分析
aodieshao2474的博客
04-18 349
20155333 《网络对抗》Exp4 恶意代码分析 基础问题回答 1、如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。 使用Windows自带的schtasks指令设置一个计划任务,指定每隔一定时间记录主机的联网记录或者是端口开放、注册表信息等等; 通过sysmon工具,配置好记录事件的文件,之...
20155222卢梓杰 实验五 MSF基础应用
weixin_33849942的博客
05-01 107
实验五 MSF基础应用 1.一个主动攻击实践,如ms17_010_eternalblue漏洞; 本次攻击目标是win7虚拟机 首先进行相应配置 然后点launch 就成功了 针对win7的漏洞还是相对较少的,而且大部分都不能用 一个针对浏览器的攻击,MS10_002_aurora漏洞攻击 本次目标机是winxp SP3 这次什么都不用填,直接launch 等待靶机连接 成功 3.针...
20155222卢梓杰 实验八 Web基础
weixin_33716154的博客
05-15 161
实验八 Web基础 1.安装apache sudo apt-get install apache2 2.启动apache service apache2 start 3.使用netstat -tupln |grep 80命令查看80端口是否被占用,如果已被占用,修改配置文件ports.conf中的内容以修改监听端口vim /etc/apache2/ports.conf 4.重启apaches...
20155222卢梓杰 实验九 Web安全基础
weixin_34406086的博客
05-26 262
实验九 Web安全基础 今天不多bb,打开webgoat就是干好吧 1.简单字符串sql注入 可以看到这个实验说明是 “下表允许用户查看其信用卡号码。尝试插入一个SQL字符串,以显示所有信用卡号码。” 下面已经显示了后台使用的sql语句是 SELECT * FROM user_data WHERE last_name = 'Your Name' 既然我们的目的是要显示所有信用卡的记录,所以我们...
20155222卢梓杰 实验七 网络欺诈防范
weixin_34153893的博客
05-08 92
实验七 网络欺诈防范 1.简单应用SET工具建立冒名网站 检查80端口是否被占用 netstat -tupln |grep 80 已经被其他进程占用则把他杀死 用vi打开/etc/apache2/ports.conf,查看配置文件中的监听端口是否为80,如果不是就改成80。 输入命令apachectl start开启Apache服务,接着打开一个新的终端窗口,输入setoolkit打开S...
20155222卢梓杰 实验二 后门原理与实践
weixin_34019929的博客
04-03 199
实验二 后门原理与实践 1.使用netcat获取主机操作Shell,cron启动 实验步骤如下 1.先试试win7控制linux 1.win7主机设置监听5222端口 2.linux靶机主动连接 3.成功启动控制台 2.再试试linux控制win7 1.linux主机设置监听5222端口 2.win7靶机主动连接 3.成功启动控制台 2.使用socat获取主机操作Shell...
陈梓杰问题(第6次答疑)1
08-04
本文将围绕矩阵的概念,讨论陈梓杰问题中提到的三个问题,并尝试从矩阵的角度给出解释和分析。 问题1:关于系统初始化的讨论 在讨论中,陈梓杰提到了使用VINS的思路来初始化lidar+imu+gnss接收机系统。VINS...
陈梓杰第六章作业说明文档1
08-03
陈梓杰同学还增加了保存数据的相关代码,这可能是为了后续分析或验证算法的正确性和性能。数据的记录对于调试和优化算法至关重要,可以通过比较不同方法的输出结果来评估它们的准确性。 5. 扩展任务: 作业中提到...
陈梓杰第七章作业说明文档1
08-03
【陈梓杰第七章作业说明文档1】主要涵盖了在机器人定位与导航中使用扩展卡尔曼滤波(EKF)进行状态估计的相关知识点。作业中详细介绍了如何满足及格、良好和优秀的要求,并根据参考论文推导和实现了名义状态的EKF。 ...
鸿蒙应用开发之自定义组件@Component全面解析:自定义组件生命周期
YunWQ的博客
08-14 802
本文介绍了ArkUI中的自定义组件开发,包括其特点、基本结构、成员函数/变量定义及参数传递方式。自定义组件具有可组合、可重用和数据驱动UI更新的特性,通过@Component装饰器定义。文章详细说明了如何在组件中定义成员变量和函数,以及如何接收外部参数。最后简要提及了组件和页面的生命周期函数,包括aboutToAppear、onPageShow等关键回调,为开发者提供了构建可复用UI组件的基础知识。
如何在 Linux 上安装 SQL Server 2022 和 Azure Data Studio
csdn_aspnet的专栏,请点击博客主页右上角三个点中的私信联系
08-15 947
本文介绍了如何在Linux系统(以Ubuntu 20.04为例)上安装SQL Server 2022及Azure Data Studio。SQL Server自2017版开始支持Linux平台,通过平台抽象层实现跨平台兼容性。文章详细说明了安装步骤:导入GPG密钥、注册存储库、安装软件包并配置管理员密码。同时介绍了SQL Server在Linux上的不同版本(企业版、标准版等)和主要功能差异。安装完成后,用户可通过Azure Data Studio等工具进行连接管理,文中提供了连接参数设置指南。整个过程简便
Linux操作系统从入门到实战(二十二)命令行参数与环境变量
2402_83322742的博客
08-15 923
本文介绍了Linux中的命令行参数与环境变量。命令行参数通过main函数的argc和argv接收,argc表示参数个数,argv存储具体参数内容,如ls -l中的-l。环境变量是系统全局配置信息,如PATH变量存储可执行文件路径,USER存储用户名。可通过echo $PATH查看或C语言的getenv函数获取环境变量。环境变量与本地变量的区别在于作用范围:环境变量可被子进程继承,而本地变量仅限当前会话。理解这些概念有助于更好地控制程序行为和系统配置。
美国服务器环境下Windows容器工作负载基于指标的自动扩缩
最新发布
cpsvps的博客
08-16 401
在云计算高速发展的今天,Windows容器的自动化管理成为企业数字化转型的关键需求。基于指标的自动扩缩机制通过实时监控工作负载变化,能够智能调节容器实例数量,既保障业务连续性又有效控制云计算资源成本。本文将深入解析在实施Windows容器弹性伸缩的最佳实践,重点剖析指标采集、触发策略和系统集成三大核心模块的运作原理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值