20155239 《网络对抗》Exp4 恶意代码分析

使用schtasks指令监控系统运行

先在C盘目录下建立一个netstatlog.bat文件，用来将记录的联网结果格式化输出到netstatlog.txt文件中，netstatlog.bat内容为：

date /t >> c:
etstatlog.txt
time /t >> c:
etstatlog.txt
netstat -bn >> c:
etstatlog.txt

打开Windows下命令提示符，输入指令

schtasks /create /TN   netstat /sc MINUTE /MO 2 /TR "c:
etstatlog.bat"

指令创建一个每隔两分钟记录计算机联网情况的任务

查看netstatlog.txt文件，对可疑进程进行分析：

分析结果：出现多次访问进程kbasesrv.exe, kbasesrv.exe是金山推广流氓软件，会弹出广告，修改主页。大量占用CPU。很难彻底删除，建议卸载所有金山软件

使用sysmon工具监控系统运行

下载sysmon v7.0

在Sysmon.exe同目录下建立文件：test.txt，并输入以下XML：

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
 <EventFiltering>
<!-- Log all drivers except if the signature -->
 <!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
 <Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
 <SourcePort condition="is">137</SourcePort>
 </NetworkConnect>

 <CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
 <TargetImage condition="end with">svchost.exe</TargetImage>
 <TargetImage condition="end   with">winlogon.exe</TargetImage>
 <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
 </EventFiltering>
 </Sysmon>

管理员身份运行命令行提示符，输入指令： Sysmon.exe -i test.txt ，进行安装：

给出提示，无法进行安装。