20155206 实验4 恶意代码分析

20155206 实验4 恶意代码分析

系统运行监控

1.Schtasks

、 创建一个netstat20155206.txt文件，在文件中输入
date /t >> c:\netstat20155206.txt time /t >> c:\netstat20155206.txt netstat -bn >> c:\netstat20155206.txt

、 将此文件名改成netstat20155206.bat
、 再创建一个netstat20155206.txt
、 将这两个文件剪切到c盘目录下

方法

、 打开控制面板，搜索计划任务

、选择建立任务，名称设为20155206，并选择使用最高权限运行


、 打开20155206.txt，获得如图

Sysinternals工具集

2.1Sysmon

、 下载sysmon
、 对其进行解压，在C盘建立20155206.txt文件在其中输入
` //4.00为你的版本号，如不知道版本号，可先运行下面的指令，根据所提示的错误进行更改

*




microsoft
windows

chrome.exe
iexplorer.exe
137

explorer.exe
svchost.exe
winlogon.exe
powershell.exe


、 以管理员身份运行命令行，输入Sysmon.exe -i 20155210.txt`

、 打开控制面板，搜索事件查看，打开事件查看器，sysmon的日志就在，应用程序和服务日志/Microsoft/Windows/Sysmon/Operational下

、 对日志进行查看

、 searchfilterhost建立程序

、 运行了360浏览器
、 接下来，咱们主要对80，443端口进行监视
、 利用下面的代码对20155206.txt进行更改，而后使用sysmon.exe -c 20155206.txt，进行更新。
`

*




microsoft
windows

SogouExplorer.exe

80
443
5210

explorer.exe
svchost.exe
winlogon.exe
powershell.exe


`
、 如图

、 查看事件查看器

、 20155206_backdoor.exe运行

、** 20155206_backdoor.exe回连成功，可是没有目的端口号和资源端口号。

、 上图是在kali端回连成功后进行dir操做后的截图**

2.2TCPview

、 查阅资料通常localport 为cifs都是后门，cifs是一个新提出的协议，它使程序能够访问远程Internet计算机上的文件并要求此计算机提供服务。很明显若是有程序的LocalPort显示为cifs的时候就要注意了

恶意软件分析

、 首先咱们下载Systracer，安装
、 而后进行快照

问题

、 后门程序运行成功并回连后在事件查看器中的没有体现出应有的信息。