• 20145327《网络对抗技术》 恶意代码分析


    20145327《网络对抗技术》 恶意代码分析

    实验问题回答

    • 1.总结一下监控一个系统通常需要监控什么?用什么来监控?

    注册表信息的增删添改;系统上各类程序和文件的行为记录以及权限
    我们可以使用以下软件工具来监控:wireshark抓包分析;TCPview查看系统的TCP连接信息;sysmon用来监视和记录系统活动,并记录

    • 2.如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程、恶意代码相关文件。

    使用tcpview工具检测有哪些程序在进行网络连接,是否有进程是我们未预设会连接网络的;
    查看该程序是否恶意修改了我们的注册表信息

    实验总结与体会

    哇,实验真的是让人欢喜让人忧。做完网络对抗实验感觉整个人都轻了200斤。
    我们可以动态或者静态的分析可疑的软件,不过静态分析并没有多大用处,还是动态的好。

    实践过程记录

    • 恶意代码静态分析
      先用VirScan扫描一下上次实验用到的后门程序testcc.exe

    大多数杀软检测其为病毒,点击文件行为分析查看一下这个程序到底做了什么:

    由上图我们发现testcc.exe这个程序是由UPolyX v0.5加的壳;它的网络行为为建立到一个指定的套接字连接;与此同时他会检测自身是否被调试,还会创建事件对象;还能自行删除了注册表键和注册表键值;

    • 恶意代码动态分析
      1.sysinternals工具集
      (1)Tcpview
      查看进行tcp连接的进程信息:

    (2)sysmon工具
    快速安装(在管理员模式下)

    配置xml文件sysmon -c cc.xml,并使用sysmon -c查看配置;

    确实启动了

    在计算机管理工具-事件查看器下可以查看日志信息

    • 任务计划

    2.SysTracer工具
    在附件中下载SysTracer这个工具的安装包,默认安装即可
    我们会使用这个工具中快照工具,这样方便我们比对恶意代码攻击成功后系统的改变,因为每次快照都要扫描注册表以及硬盘的信息,所以我们选择win 7虚拟机作为靶机
    Kali的IP:192.168.43.54(NAT方式)
    win7虚拟机的IP:192.168.43.55(NAT方式)

    Take snapshot键就是我们快照,点击进入后我们可以选择想扫描快照的部分,包括注册表和硬盘分区等,选择完毕后我们点击start等待快照完成即可。
    1.在正常情况下,我们在win7虚拟机下快照保存为Snapshot #1;
    2.Kali生成相应的后门,将文件通过ncat传到win7虚拟机下后快照保存为Snapshot #2;
    3.Kali开启msf监听,在win7下运行后门程序后快照保存为Snapshot #3;
    4.Kali对win7虚拟机进行截图后,在win7下快照保存为Snapshot #4;

    可以选择两个快照进行campare,分析每次操作对系统的影响:

    • 1 2

      通过对比发现发现多了传输的文件

    • 2 3

      可以发现注册表有了增减,开放端口也有了变动。

    • 3 4(5)由于不知道截屏后的快照抽了什么疯没发现不同,所以再次快照了命名为5

      注册表信息又发生变化

    • 使用WireShark抓包分析

      三次握手

  • 相关阅读:
    对象 函数
    流程控制语句 label 从键盘输入 计时器 []中括号的使用
    类型转换 运算符 流程控制语句
    JS的编写的位置 输出语句 注释 字面量和变量 数据类型
    AutoCad 二次开发 .net 之创建Table
    AutoCad 二次开发 .net 之相同块的自动编号
    Java 多线程练习
    C# Winform 自定义控件——竖着的Navbar
    C# Winfrom 自定义控件——带图片的TextBox
    Task CancellationTokenSource和Task.WhenAll的应用
  • 原文地址:https://www.cnblogs.com/20145327gc/p/6648497.html
Copyright © 2020-2023  润新知