---恢复内容开始---
1 关键内容
系统运行监控
(1)使用计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。
(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
恶意软件分析
分析后门软件
(3)读取、添加、删除了哪些注册表项
(4)读取、添加、删除了哪些文件
(5)连接了哪些外部IP,传输了什么数据
2 系统运行监控
实验在本机中进行。设置任务计划,计划任务名为20164318,每隔1分钟运行,结果输出至C盘根目录.
schtasks /create /TN 20164318 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > e:\20164318.txt"
同时创建一个bat文件,用于记录时间。
(txt直接改后缀为bat)
然后直接在搜索里面打开计划任务程序,找到我们的20164318计划
勾选上最高权限运行
我电脑常年接电,我寻思着不用管电池的问题
然后把脚本选定为之前的那个bat
这个地方忘记改文件后缀了,一直打开txt来着。。。
运行一段时间后得到结果
经过和任务管理器对比,发现基本上就是网易云啊。。。wps啊等我在使用的软件,好像没有什么特别的东西。
安装sysmon
并且配置好
<Sysmon schemaversion="4.20"> <!-- Capture all hashes --> <HashAlgorithms>*</HashAlgorithms> <EventFiltering> <!-- Log all drivers except if the signature --> <!-- contains Microsoft or Windows --> <DriverLoad onmatch="exclude"> <Signature condition="contains">microsoft</Signature> <Signature condition="contains">windows</Signature> </DriverLoad> <NetworkConnect onmatch="exclude"> <Image condition="end with">iexplorer.exe</Image> <SourcePort condition="is">137</SourcePort> <SourceIp condition="is">127.0.0.1</SourceIp> </NetworkConnect> <NetworkConnect onmatch="include"> <DestinationPort condition="is">5325</DestinationPort> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</TargetImage> <TargetImage condition="end with">svchost.exe</TargetImage> <TargetImage condition="end with">winlogon.exe</TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>
打开kali,将之前设置好的后门上传到virustotal扫描
可以看到具体的信息
然后回连成功之后,可以用process monitor监管
(看不懂)
在process explorer中可以看到具体的占用系统资源数量
3.报告内容
3.1实验后回答问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
如果我作为恶意代码的设计者,最大的方向应该是向赚钱的方向努力,因此,个人的隐私、照片、账号,其次是针对与现在企业的“用户画像”提供数据。监控的话我认为从键盘输入,摄像头输入等等比较靠谱。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
比如上面提到的process monitor,还有之前的wireshark等等,可以具体的查出连接的端口号啥的。
实验心得
原来恶意代码不是像电影里面一样有帅气的UI,恰恰重点是在漏洞与边界之间的斗争,有矛就有盾,但是我们防御也要看清楚到底防御的东西在哪,这就是这次实验的意义把。