(1)若是在工做中怀疑一台主机上有恶意代码,但只是猜测,全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些,用什么方法来监控。windows
(2)若是已经肯定是某个程序或进程有问题,你有什么工具能够进一步获得它的哪些信息。api
此次的实验主要是利用以前生成的后门程序,用各类软件进行静态动态分析,在我看来最有趣的地方就是我知道它是一个后门程序,我用各类工具从注册表,是否加壳等方面入手,了解了它是怎样对个人电脑进行破坏的,虽然对电脑真的肉疼,可是过程仍是颇有意思的,以为本身在剖析一个攻击者的手法,比较偏向于实际应用,引导咱们一步步去发现谁是恶意代码,恶意代码是如何暴露了本身,过程颇有趣。
好的说一点其余的问题,电脑要哭了!!天天都不给开防火墙不给杀软,天天都给它开后门!!太卡了!!因此后面的一些实验都是用手机拍图,但愿不要介意,电脑太卡安全
本次分析的为msf生成的后门软件,就是实验二里生成的,当时删掉了因此从新生成了一个ss5229.exe
网络
静态分析
1.特征库比对,将ss5229.exe提交至http://www.virscan.org进行分析,以下图所示
被20个杀软检测出来了,很明显是恶意软件,接下来查看具体行为分析
工具
分析:
如图,经过加壳,删除注册表,建立套接字链接,检测自身是否被调试均可以分析得出是一个恶意软件操作系统
2.查看PE文件头中包含的代码信息设计
分析:3d
前面两个.dll库没有大问题,msvcrt.dll是微软在windows操做系统中提供的C语言运行库执行文件;kernel32.dll是Windows 9x/Me中很是重要的32位动态连接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操做和中断处理调试
PEiD
使用PEiD来分析咱们的ss5229.exe是否加壳或者用什么编译的
经过上图咱们看到它啥都没有查出来,这很尴尬,经过百度说它啥编译器的问题,那咱们从另外一个角度入手,反汇编,以下图
日志
对比2,3的注册表以及程序,明显有了删除的痕迹,踪影很是明显
2.wireshark流量捕包
3.任务计划(电脑太卡了截图工具崩了!!!因此拍照了!!)
而后咱们就能够看txt里面的东西了,上面就是说我没有权限而后啥都不给我看,而后看有些同窗的博客就说在新建任务那里点最高权限就能够,天哪噜我设置了仍是没有权限,因此我打开了百度!!要右键点击管理员权限!!没有权限的朋友让我看到大家的双手,因此怎么说呢,遇到问题仍是得本身解决,毕竟每一个人电脑不同遇到的问题不同因此要独立思考呀
说到解决问题的方面,好多同窗用的NAT模式可是有的时候虚拟机崩了而后它就没有ip了!!!提供一个解决的方法,请点击你电脑里服务,查看VMWARE那几个有没有运行,而后你手动运行通常就解决了没有ip的问题,都不用重启!很是方便!
4.sysmon