实践过程及结果截图
使用schtasks指令监控系统运行
大部分都是正常联网的应用,没有发现什么异常,因为我除了打开QQ浏览器在上网,都没有在干其他的事情,所以基本都是浏览器的进程
使用sysmon工具监控系统运行
1.要使用sysmon工具先要配置文件,我直接用的是老师给的配置文件
2.配置好文件之后,对sysmon进行安装
3.启动之后,便可以到事件查看器里查看相应的日志
点击事件属性可以看到详细信息如下
就像上面一样,我仍然这时候只开起了QQ浏览器使用了上网功能,所以大部分都是QQ浏览器的
使用virscan分析恶意软件
这个就是我上次实验所做的后门程序
可以看到其启动回连主机的部分IP地址以及端口号
对注册表键值进行了删除
还有创建事件对象的行为
PE Explorer分析恶意软件
可以看文件编译时间、链接器版本等信息
点击“导入表”(import),可以查看该文件依赖的dll库
msvcrt.dll和KERNEL32.dll属于一般程序在win下都会调用的dll库
WS2_32.dll,是用来创建套接字的dll库,这就需要去仔细分析这个程序有没有网络连接了,这个就比较可疑了
PEiD分析恶意软件
可以使用PEiD打开来查看一下这个程序有没有加壳或是用什么来编译的,当然通过这个我们并没有看出来,按照大家的分析是版本问题?
使用systracer工具分析恶意软件
使用systracer工具建立了4个快照,分别是
4.在主机中没有恶意软件时
1.恶意软件启动回连时
2.Kali对主机进行快照时
3.Kali对主机进行提权操作后
(因为我最后一张才是恢复系统后的,所以顺序有点乱了,不要介意)
对比1&2:注册表的信息发生了变化
好复杂哦
对比2&3:在进行一些权限操作后,进程信息显示后门程序有联网诉求
使用wireshark分析恶意软件回连情况
设置IP过滤格式:ip.src10.43.37.84 or ip.dst10.43.59.200如下图所示,捕捉到了靶机回连kali时通过TCP的三次握手协议过程和靶机kali向虚拟机win7发送文件的数据包
基础问题回答
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
就是配合使用如上面所说的一系列软件和方法来分析啊,当然重点还是得会分析才行啊
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
去网站上扫描分析文件啊、用Wireshark进行抓包分析啊、systracer查看具体进程改变的注册表信息啊、sysmon用来监视和记录系统活动看看日志分析什么的啊、等等一系列上面的
方法如果都能掌握的话,那应该还是可以干很多事情的
实践总结与体会
我发现了,这学期选修了计算机病毒这门课,老师在课上教我们使用了好多工具和方法来分析,正好用在了这次的实验上,果然知识都是联合起来使用的啊,不过要是去分析汇编、
反汇编、还有什么十六进制代码之类的对于我来说还是很烧脑的啊