20145210姚思羽《网络对抗技术》恶意代码分析

实验后回答问题

1.如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

（1）使用计算机自带的schtasks指令动态监控系统运行

（2）使用sysmon工具动态监控系统运行

（3）使用wireshark抓包检测流量等进行分析

（4）使用PE Explore分析恶意软件里的内容

2.如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

（1）使用systracer工具进行快照分析注册表信息、文件行为等信息的变化

（2）在恶意代码检测网站上检测查看行为报告

（3）使用wireshark检测这个程序联网时进行的操作

实验总结与体会

本次实验对自己的主机小小的监控了一下，发现有一些恶意代码杀软真的检测不出，一些程序真的是默默地在计算机里搞一些事情，甚至我都没有开机他就开始运行，以后对于自己的计算机不能完全依靠杀软，还是要利用已有的一些工具进行监控分析

实践过程记录

恶意代码动态分析

一、使用schtasks指令监控系统运行

1.建立netstatlog.bat文件，用于记录联网内容，文件内容如下：

date /t >> d:\netstatlog.txt
time /t >> d:\netstatlog.txt
netstat -bn >> d:\netstatlog.txt

2.在命令行中输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "d:\netstatlog.bat"创建任务，每隔两分钟记录联网内容

3.打开netstatlog.txt文件查看记录内容，刚开始打开的时候出现以下问题：

可能是权限不够，设置为以管理员身份运行之后成功完成联网记录，目前看到的是关闭了与211.136.25.211的连接，并与三个网络建立连接

二、使用sysmon工具监控系统运行

1.下载、配置并安装sysmon

2.启动之后可以在事件查看器中查看到相应的日志

3.看了一些具体的日志内容，找到了启动sysmon.exe的事件

4.找到了一个可疑事件，360卫士在我没有打开电脑的时候做了一些事情

三、使用SysTracer工具分析恶意软件

1.使用SysTracer工具建立以下五个快照：

1.一开始在目标主机上进行快照保存为Snapshot #1；
2.在虚拟机中生成后门软件，将文件传到目标主机后快照保存为Snapshot #2；
3.在虚拟机开启监听的情况下，在目标主机运行后门程序后快照保存为Snapshot #3；
4.在虚拟机对目标主机进行截图后在目标主机中快照保存为Snapshot #4；
5.在虚拟机获取目标主机摄像头后在目标主机快照保存为Snapshot #5.