本文共 951 字,大约阅读时间需要 3 分钟。
在C盘根目录下创建一个netstatlog.bat文件,文件内容如下:
date /t >> c:\netstatlog.txttime /t >> c:\netstatlog.txtnetstat -bn >> c:\netstatlog.txt
该批处理文件用于将计算机的联网状态记录到netstatlog.txt文件中。通过命令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"创建一个每两分钟运行一次的任务,记录网络连接状态。由于需要管理员权限运行任务,建议以管理员身份打开命令提示符并运行。
使用老师提供的sysmon配置文件,将常用程序(如微信、2345浏览器、QQ等)添加到白名单。以管理员身份运行命令行,进入sysmon目录,使用sysmon.exe -i 配置文件路径安装工具。安装完成后,通过eventvwr打开应用程序和服务日志,查看监控结果。记录了桌面搜索引擎访问、2345浏览器启动、网易云音乐缓存等活动。
尝试使用virscan等网站进行恶意代码分析,但由于网站状态不稳定,最终未能获得有效结果。
下载并安装systracer工具,捕获后门程序的注册表快照。通过快照分析,观察后门程序的运行情况和网络连接。
在后门程序回连时,使用netstat -n查看TCP连接状态,发现回连建立了TCP连接。进一步使用Wireshark进行协议分析,验证了后门程序的通信行为。
使用PEiD工具分析后门程序0505.exe,发现其为UPX加壳程序。
通过Process Monitor和Process Explorer实时监控后门程序的运行状态,观察其进程变化和资源占用情况。
这次实验让我掌握了基本的网络监控和恶意代码分析方法。通过实践,提升了对网络活动的监控能力和对恶意代码行为的分析能力。实验过程中遇到的问题和解决方法让我对网络安全防护有了更深的理解。
转载地址:http://lsrfk.baihongyu.com/