2017-2018-2 20155231《网络对抗技术》实验四：恶意代码分析

实验内容

系统运行监控

（1）使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。

建立一个netstat20155231.txt文件，在文件中输入

date /t >> c: etstat20155231.txt
time /t >> c: etstat20155231.txt
netstat -bn >> c: etstat20155231.txt

然后将此文件名改为netstat20155231.bat
再建立一个netstat20155231.txt
用管理员权限在命令行输入如下命令：schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "c: etstat20155231.bat"
运行netstat20155231.batnetstat -bn
打开txt文件，显示请求的操作需要提升
在计划任务里找到名为netstat的任务，给予管理员权限，再次运行
查看txt文件分析ip地址

-vm虚拟机

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

安装sysmon
创建5231.txt，输入：

<Sysmon schemaversion="4.00">      
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>