NetSec2019 20165327 Exp4 惡意代碼分析
阿新 • • 發佈:2019-04-07
記錄 套件 對象 自帶 情況 internal 重點 不能 統一
①讀取、添加、刪除了哪些註冊表項
②讀取、添加、刪除了哪些文件
③連接了哪些外部IP,傳輸了什麽數據
①使用systracer工具分析惡意軟件,查看其對註冊表和文件的修改。
②使用Wireshark進行抓包分析,監視其與主機進行的通信過程。
③使用Process Explorer工具或Process Monitor工具,監視文件系統、註冊表、進程/線程的活動
NetSec2019 20165327 Exp4 惡意代碼分析
一、實踐目標
1、監控你自己系統的運行狀態,看有沒有可疑的程序在運行。
2、分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,systracer套件。
3、假定將來工作中你覺得自己的主機有問題,就可以用實驗中的這個思路,先整個系統監控看能不能找到可疑對象,再對可疑對象進行進一步分析,好確認其具體的行為與性質。
二、實踐內容概述
1、系統運行監控
①使用如計劃任務,每隔一分鐘記錄自己的電腦有哪些程序在聯網,連接的外部IP是哪裏。運行一段時間並分析該文件,綜述分析結果。
②安裝配置sysinternals裏的sysmon工具,設置合理的配置文件,監控自己主機的重點事可疑行為。
①讀取、添加、刪除了哪些註冊表項
②讀取、添加、刪除了哪些文件
③連接了哪些外部IP,傳輸了什麽數據
三、基礎問題回答
1、如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。
①使用windows自帶的schtasks指令設置一個計劃任務,發現網絡連接異常
②使用Sysmon,編寫配置文件,記錄有關的系統日誌
③使用Process Explorer工具,監視進程執行情況。
④使用Process Monitor工具,監視文件系統、註冊表、進程/線程的活動。
①使用systracer工具分析惡意軟件,查看其對註冊表和文件的修改。
②使用Wireshark進行抓包分析,監視其與主機進行的通信過程。
③使用Process Explorer工具或Process Monitor工具,監視文件系統、註冊表、進程/線程的活動
四、實踐步驟
NetSec2019 20165327 Exp4 惡意代碼分析