20145328 《网络对抗技术》恶意代码分析

时间 2019-11-24

标签网络对抗技术恶意代码分析栏目系统网络繁體版

原文原文链接

------看到这句话说明还没写完--------浏览器

实践内容：

此次是开学到如今完成时间最长的实践，拖了这么长时间并非由于实践内容有多难，而是由于本次实践内容基本上都是一些分析的东西，相对来讲就枯燥不少了，特别是对着屏幕上一大堆数据的时候整我的都快疯了。但实际上静下心来慢慢梳理，仍是比较简单的，由于数据类似性很高，把一些常常出现的重复项去掉，分析起来就方便了不少。可是还存在一个问题就是可能你分析了半天发现电脑里好像一切正常，但可能只是刚好电脑里的恶意软件没有搞事情而已，越说心越累

打开Windows下命令提示符，输入指令C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"指令建立一个每隔五分钟记录计算机联网状况的任务：
网络
在C盘目录下创建一个netstatlog.bat文件，用来将记录的联网结果格式化输出到netstatlog.txt文件中，netstatlog.bat内容为：
函数
再打开计划任务将其中每5分钟执行的指令从"cmd /c netstat -bn > c:\netstatlog.txt"替换为“c:\netstatlog.bat”，打开C:\netstatlog.txt：
工具
时隔一天，netstatlog.txt文件已经达到两百多K了，里面的记录内容也是至关的长，图中能够看到记录内有显示个人浏览器正处于联网的状态
网站
中间开启过一次上次实验所作的后门软件进行回连，但在该指令记录以前就已经关闭了，所以文档中并无找到，说明也不能彻底的就信任该指令对于系统运行的监控记录，有可能个人系统里面确实是存在恶意软件的，只是恰好在监控进行记录的时候它没有搞事情，这样一来就不会被记录在案了，解决方法只能是减少记录时间的间隔，但这样一来所带来的的问题就是须要分析的数据内容会随着记录时间间隔减少而增多
设计

sysmon微软Sysinternals套件中的一个工具，能够从码云项目的附件里进行下载，要使用sysmon工具先要配置文件，直接用的老师给的配置文件，这里虽然是复制粘贴就好了但仍是要注意xml配置文件是大小写敏感的，在对配置进行修改的时候要注意：
调试
配置好文件以后，要先使用Sysmon.exe -i C:\Sysmoncfg.xml指令对sysmon进行安装：
日志
启动以后，即可以到事件查看器里查看相应的日志，好比这个事件是以前作计划任务时所建立的
xml
例以下面的事件是在实践过程当中截图时建立文件：
对象

使用PEiD软件能够查看恶意软件的壳的相关信息，以及其所使用的编译器版本，这里所查看的两个软件是计算机病毒课程中老师所给的示例软件，咱们能够很直接的看见在图中是直接显示了软件所使用的编译语言，所以这两个软件是无壳的