博客
关于我
20155305《网络对抗》恶意代码分析
阅读量:797 次
发布时间:2023-04-04

本文共 951 字,大约阅读时间需要 3 分钟。

网络对抗恶意代码分析实验

实验过程

计划任务监控

在C盘根目录下创建一个netstatlog.bat文件,文件内容如下:

date /t >> c:\netstatlog.txttime /t >> c:\netstatlog.txtnetstat -bn >> c:\netstatlog.txt

该批处理文件用于将计算机的联网状态记录到netstatlog.txt文件中。通过命令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"创建一个每两分钟运行一次的任务,记录网络连接状态。由于需要管理员权限运行任务,建议以管理员身份打开命令提示符并运行。

sysmon工具监控

使用老师提供的sysmon配置文件,将常用程序(如微信、2345浏览器、QQ等)添加到白名单。以管理员身份运行命令行,进入sysmon目录,使用sysmon.exe -i 配置文件路径安装工具。安装完成后,通过eventvwr打开应用程序和服务日志,查看监控结果。记录了桌面搜索引擎访问、2345浏览器启动、网易云音乐缓存等活动。

virscan网站分析

尝试使用virscan等网站进行恶意代码分析,但由于网站状态不稳定,最终未能获得有效结果。

systracer注册表分析

下载并安装systracer工具,捕获后门程序的注册表快照。通过快照分析,观察后门程序的运行情况和网络连接。

网络情况分析

在后门程序回连时,使用netstat -n查看TCP连接状态,发现回连建立了TCP连接。进一步使用Wireshark进行协议分析,验证了后门程序的通信行为。

PEiD分析

使用PEiD工具分析后门程序0505.exe,发现其为UPX加壳程序。

Process Monitor和Process Explorer分析

通过Process Monitor和Process Explorer实时监控后门程序的运行状态,观察其进程变化和资源占用情况。

实验总结与体会

这次实验让我掌握了基本的网络监控和恶意代码分析方法。通过实践,提升了对网络活动的监控能力和对恶意代码行为的分析能力。实验过程中遇到的问题和解决方法让我对网络安全防护有了更深的理解。

转载地址:http://lsrfk.baihongyu.com/

你可能感兴趣的文章
MySQL 是如何加锁的?
查看>>
MySQL 是怎样运行的 - InnoDB数据页结构
查看>>
mysql 更新子表_mysql 在update中实现子查询的方式
查看>>
MySQL 有什么优点?
查看>>
mysql 权限整理记录
查看>>
mysql 权限登录问题:ERROR 1045 (28000): Access denied for user ‘root‘@‘localhost‘ (using password: YES)
查看>>
MYSQL 查看最大连接数和修改最大连接数
查看>>
MySQL 查看有哪些表
查看>>
mysql 查看锁_阿里/美团/字节面试官必问的Mysql锁机制,你真的明白吗
查看>>
MySql 查询以逗号分隔的字符串的方法(正则)
查看>>
MySQL 查询优化:提速查询效率的13大秘籍(避免使用SELECT 、分页查询的优化、合理使用连接、子查询的优化)(上)
查看>>
mysql 查询,正数降序排序,负数升序排序
查看>>
MySQL 树形结构 根据指定节点 获取其下属的所有子节点(包含路径上的枝干节点和叶子节点)...
查看>>
mysql 死锁 Deadlock found when trying to get lock; try restarting transaction
查看>>
mysql 死锁(先delete 后insert)日志分析
查看>>
MySQL 死锁了,怎么办?
查看>>
MySQL 深度分页性能急剧下降,该如何优化?
查看>>
MySQL 深度分页性能急剧下降,该如何优化?
查看>>
MySQL 添加列,修改列,删除列
查看>>
mysql 添加索引
查看>>