20155220 实验4 恶意代码分析

实验4 恶意代码分析

系统运行监控

1.Schtasks

• 先创建一个netstat20155220.txt文件，在文件中输入
  date /t >> c:\netstat20155220.txt time /t >> c:\netstat20155220.txt netstat -bn >> c:\netstat20155220.txt

• 而后将此文件名改成netstat20155220.bat

• 再创建一个netstat20155220.txt，用来将记录的联网结果格式化输出到其中

• 将这两个文件剪切到c盘目录下

• 而后，以管理员身份打开命令行，输入schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "c:\netstat20155220.bat"
  

• TN：Task Name，本例中是netstat
• SC: SChedule type,本例中是MINUTE,以分钟来计时

• MO: MOdifier

• TR: Task Run，要运行的指令是 netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口

• 打开netstat20155220.txt，获得如图：
  

Sysinternals工具集

Sysmon

• 首先咱们下载sysmon

• 对其进行解压，在C盘建立20155220.txt文件在其中输入

```

*




microsoft
windows

chrome.exe
iexplorer.exe
137

explorer.exe
svchost.exe
winlogon.exe

powershell.exe



```

• 而后，以管理员身份运行命令行，输入Sysmon.exe -i 5220.txt.txt

• 配置文件能够随时修改，修改完须要用以下指令更新一下Sysmon.exe -c 5220.txt.txt

• 而后咱们打开控制面板，搜索事件查看，打开事件查看器，sysmon的日志就在，应用程序和服务日志/Microsoft/Windows/Sysmon/Operational下
  

• 咱们对日志进行查看，如下有一些进程截图
  

• 接下来，咱们主要对80，443端口进行监视

• 利用下面的代码对20155220.txt进行更改，而后使用sysmon.exe -c 5220.txt，进行更新。

```

*




microsoft
windows

SogouExplorer.exe

80
443
5210

explorer.exe
svchost.exe
winlogon.exe
powershell.exe


```

• 而后咱们来查看事件查看器，如图：
  

恶意软件分析

Systracer

• 首先咱们进行下载，安装
• windows什么都不运行
  
• 尝试回连
  
• kali输入dir

问题

一：若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

答：监控网络链接；监控是否建立新的进程；监控注册表项目；监控系统日志；监控是否常常链接未知IP。

二：若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

答：TCPView、Wireshark等网络工具查看是否存在可疑链接；Systracer：程序运行先后是否有注册表、端口、文件的变化。