20145225唐振远《网络对抗》Exp4 恶意代码分析
2017-04-04 22:39
155 查看
20145225唐振远《网络对抗》Exp4 恶意代码分析
基础问题回答
如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。使用Windows自带的
schtasks指令设置一个计划任务,指定每隔一定时间记录主机的联网记录或者是端口开放、注册表信息等等;
通过
sysmon工具,配置好想记录事件的文件,之后在事件查看器里找到相关日志文件便可以查看;
使用
Process Explorer工具,监视进程执行情况,查看是否有程序调用了异常的dll库之类的。
如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
使用
Wireshark进行抓包分析,查看该程序联网时进行了哪些操作;
使用
systracer工具分析某个程序执行前后,计算机注册表、文件、端口的一些变化情况。
实践过程记录
GE_Windows计划任务schtasks1.打开
任务计划程序,
创建任务,
使用最高权限运行
触发器选择5分钟一次:
c盘的
netstatlog.txt文件:
Sysmon:
改写老师的代码
转到
sysinternals目录下,运行
sysmon.exe -i 配置文件所在路径;
sysmon记录下来的文件,在"运行"窗口输入命令
eventvwr,
应用程序和服务日志->
Microsoft->->Windows->[code]Sysmon
Operational
[/code]
相关文章推荐
- 20145317《网络对抗》Exp4 恶意代码分析
- 20145217《网络对抗》 恶意代码分析
- 20145216史婧瑶 《网络对抗》 恶意代码分析
- 20145307陈俊达《网络对抗》Exp4 恶意代码分析
- 20145338 索朗卓嘎 《网络对抗》 恶意代码分析
- 20145226夏艺华 网络对抗技术EXP4 恶意代码分析
- 20145316许心远《网络对抗》第四次实验:恶意代码分析
- 20145232韩文浩《网络对抗》 恶意代码分析
- 20145120黄玄曦《网络对抗》恶意代码分析
- 20145230熊佳炜《网络对抗》实验四:恶意代码分析
- 20145318《网络对抗》恶意代码分析
- 20145308 《网络对抗》 恶意代码分析 学习总结
- 20145223 杨梦云 《网络对抗》恶意代码分析
- 20145240《网络对抗》恶意代码分析
- 20145336张子扬 《网络对抗》 恶意代码分析
- 20145202马超《网络对抗》Exp4 恶意代码分析
- 20145231熊梓宏 《网络对抗》 实验四 恶意代码分析
- 20145301赵嘉鑫《网络对抗》——恶意代码分析
- 20145312《网络对抗》Exp4 恶意代码分析
- 20145310《网络对抗》恶意代码分析