博客
关于我
20155305《网络对抗》恶意代码分析
阅读量:797 次
发布时间:2023-04-04

本文共 951 字,大约阅读时间需要 3 分钟。

网络对抗恶意代码分析实验

实验过程

计划任务监控

在C盘根目录下创建一个netstatlog.bat文件,文件内容如下:

date /t >> c:\netstatlog.txttime /t >> c:\netstatlog.txtnetstat -bn >> c:\netstatlog.txt

该批处理文件用于将计算机的联网状态记录到netstatlog.txt文件中。通过命令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"创建一个每两分钟运行一次的任务,记录网络连接状态。由于需要管理员权限运行任务,建议以管理员身份打开命令提示符并运行。

sysmon工具监控

使用老师提供的sysmon配置文件,将常用程序(如微信、2345浏览器、QQ等)添加到白名单。以管理员身份运行命令行,进入sysmon目录,使用sysmon.exe -i 配置文件路径安装工具。安装完成后,通过eventvwr打开应用程序和服务日志,查看监控结果。记录了桌面搜索引擎访问、2345浏览器启动、网易云音乐缓存等活动。

virscan网站分析

尝试使用virscan等网站进行恶意代码分析,但由于网站状态不稳定,最终未能获得有效结果。

systracer注册表分析

下载并安装systracer工具,捕获后门程序的注册表快照。通过快照分析,观察后门程序的运行情况和网络连接。

网络情况分析

在后门程序回连时,使用netstat -n查看TCP连接状态,发现回连建立了TCP连接。进一步使用Wireshark进行协议分析,验证了后门程序的通信行为。

PEiD分析

使用PEiD工具分析后门程序0505.exe,发现其为UPX加壳程序。

Process Monitor和Process Explorer分析

通过Process Monitor和Process Explorer实时监控后门程序的运行状态,观察其进程变化和资源占用情况。

实验总结与体会

这次实验让我掌握了基本的网络监控和恶意代码分析方法。通过实践,提升了对网络活动的监控能力和对恶意代码行为的分析能力。实验过程中遇到的问题和解决方法让我对网络安全防护有了更深的理解。

转载地址:http://lsrfk.baihongyu.com/

你可能感兴趣的文章
mysql 存在update不存在insert
查看>>
Mysql 学习总结(86)—— Mysql 的 JSON 数据类型正确使用姿势
查看>>
Mysql 学习总结(87)—— Mysql 执行计划(Explain)再总结
查看>>
Mysql 学习总结(88)—— Mysql 官方为什么不推荐用雪花 id 和 uuid 做 MySQL 主键
查看>>
Mysql 学习总结(89)—— Mysql 库表容量统计
查看>>
mysql 实现主从复制/主从同步
查看>>
mysql 审核_审核MySQL数据库上的登录
查看>>
mysql 导入 sql 文件时 ERROR 1046 (3D000) no database selected 错误的解决
查看>>
mysql 导入导出大文件
查看>>
mysql 将null转代为0
查看>>
mysql 常用
查看>>
MySQL 常用列类型
查看>>
mysql 常用命令
查看>>
Mysql 常见ALTER TABLE操作
查看>>
mysql 往字段后面加字符串
查看>>
mysql 快速自增假数据, 新增假数据,mysql自增假数据
查看>>
Mysql 报错 Field 'id' doesn't have a default value
查看>>
MySQL 报错:Duplicate entry 'xxx' for key 'UNIQ_XXXX'
查看>>
mysql 排序id_mysql如何按特定id排序
查看>>
Mysql 提示:Communication link failure
查看>>