20155204 王昊《网络对抗技术》EXP4

2023-11-20 15:10

本文主要是介绍20155204 王昊《网络对抗技术》EXP4,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

20155204 王昊《网络对抗技术》EXP4

一、实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

  • 用schtasks指令监控系统的联网记录。
  • 用sysmon查看进程信息。
  • 用wireshark抓取网络连接包,可以看到与谁进行了通信。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

  • 使用Process Explorer分析恶意软件的基本信息以及依赖的dll库。
  • 使用virscan、virustotal分析恶意软件的危险程度以及行为。

二、实验总结与体会

这次实验是告诉我们如何分析恶意代码,让我们学到如何发现并分析恶意代码的恶意,很有用。这次用到了许多工具,刚开始做实验还是本着学会这些工具去的,用完之后看看老师的要求才发现这等于没做啊,这才看着截图来学分析,不得不说还是分析更有意义些。

三、实践过程记录

使用schtasks指令监控系统运行

1.先在C盘目录下建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstatlog.txt文件中.
2.netstatlog.bat内容为:

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

3.打开cmd输入schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat",命令会创建一个任务每隔五分钟记录计算机联网。
1071529-20180418143651875-1036868314.png

4.过一段时间可以看到txt文件中的记录。
[] (https://images2018.cnblogs.com/blog/1071529/201804/1071529-20180418143655792-781796717.png)

使用sysmon工具监控系统运行

1.在网上下载了sysmon的7.01版本,然后配置文件如下:

<Sysmon schemaversion="7.01"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude"><Signature condition="contains">microsoft</Signature><Signature condition="contains">windows</Signature>
</DriverLoad><NetworkConnect onmatch="exclude"><Image condition="end with">YoudaoNote.exe</Image><Image condition="end with">UCBrowser.exe</Image><Image condition="end with">WeChat.exe</Image><SourcePort condition="is">137</SourcePort>
</NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread></EventFiltering>
</Sysmon>

2.使用sysmon -accepteula –i指令对sysmon进行安装。
3.启动后门程序后,用事件查看器可以查看相应日志。
1071529-20180418143920071-853575843.png

使用virscan、virustotal分析恶意软件

1.扫描刚刚的后门程序,可以看到行为分析以及查毒。

  • virscan扫描
    1071529-20180418143944893-27366374.png
    1071529-20180418144312164-145858102.png
  • virustotal
    1071529-20180418143955109-66080982.png
    1071529-20180418144101288-1781850410.png

使用systracer工具分析恶意软件

1.使用systracer工具建立了4个快照,分别是在主机中没有恶意软件时、将恶意软件植入到目标主机中后、恶意软件启动回连时、使用恶意软件获取目标主机权限时:
2.一、二相比较没有找到我的后门程序www.exe,我是直接从虚拟中把文件拖了出来,不知道有没有影响。
1071529-20180418144109418-1773836385.png

3.二、三比较找到了这个程序,注册表有变化
1071529-20180418144105323-1285563550.png

1071529-20180418144109418-684085607.png

4.三、四比较则找到了这个程序调用主机端口、添加注册信息的痕迹。
1071529-20180418144113626-498364539.png

1071529-20180418144108560-1777517531.png

  • 具体分析
  • wow64cpu.dll、wow64win.dll:来自Microsoft Corporation。它可以被发现在C:\位置。这是一个潜在的安全风险,它能被病毒恶意修改。
    :同上。
  • ntdll.dll:描述了windows本地NTAPI的接口。当Windows启动时,ntdll.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。参考20145326冯佳学姐的说法,才明白后门程序是调用了ntdll.dll中的函数实现的。ntdll.dll中的函数使用SYSENTRY进入ring0,也就是最高级别的权限。十分危险。

使用wireshark分析恶意软件回连情况

1.设置过滤规则找到后门程序回连的过程,发现其三次握手以及数据通信过程。
1071529-20180418144119985-432665696.png

使用Process Explorer分析恶意软件

1.在虚拟机下通过PE explorer打开文件20145236_backdoor.exe,可以查看PE文件编译的一些基本信息,导入导出表等。
如下图,可以看到该文件的编译时间、链接器等基本信息:
1071529-20180418144143836-1683411711.png

2.如下图,点击“导入表”,可以查看该文件依赖的dll库:
1071529-20180418144339139-110088854.png

  • 具体分析;
  • WSOCK32.dll和WS2_32.dll,是用来创建套接字的dll库。扫描程序可以根据程序功能描述和这个库相匹配来得到程序是否有计划外的联网行为。
  • ADVAPI32.dll库百度可知:是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。这个属于恶意代码的标志吧,动不动就要操作注册表,肯定有问题。
    另外2个不做过多介绍,属于一般程序在win下都会调用的dll库。

转载于:https://www.cnblogs.com/20155204wh/p/8874745.html

这篇关于20155204 王昊《网络对抗技术》EXP4的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/395497

相关文章

SpringBoot3实现Gzip压缩优化的技术指南

《SpringBoot3实现Gzip压缩优化的技术指南》随着Web应用的用户量和数据量增加,网络带宽和页面加载速度逐渐成为瓶颈,为了减少数据传输量,提高用户体验,我们可以使用Gzip压缩HTTP响应,... 目录1、简述2、配置2.1 添加依赖2.2 配置 Gzip 压缩3、服务端应用4、前端应用4.1 N

Linux系统配置NAT网络模式的详细步骤(附图文)

《Linux系统配置NAT网络模式的详细步骤(附图文)》本文详细指导如何在VMware环境下配置NAT网络模式,包括设置主机和虚拟机的IP地址、网关,以及针对Linux和Windows系统的具体步骤,... 目录一、配置NAT网络模式二、设置虚拟机交换机网关2.1 打开虚拟机2.2 管理员授权2.3 设置子

揭秘Python Socket网络编程的7种硬核用法

《揭秘PythonSocket网络编程的7种硬核用法》Socket不仅能做聊天室,还能干一大堆硬核操作,这篇文章就带大家看看Python网络编程的7种超实用玩法,感兴趣的小伙伴可以跟随小编一起... 目录1.端口扫描器:探测开放端口2.简易 HTTP 服务器:10 秒搭个网页3.局域网游戏:多人联机对战4.

Java利用JSONPath操作JSON数据的技术指南

《Java利用JSONPath操作JSON数据的技术指南》JSONPath是一种强大的工具,用于查询和操作JSON数据,类似于SQL的语法,它为处理复杂的JSON数据结构提供了简单且高效... 目录1、简述2、什么是 jsONPath?3、Java 示例3.1 基本查询3.2 过滤查询3.3 递归搜索3.4

Python中随机休眠技术原理与应用详解

《Python中随机休眠技术原理与应用详解》在编程中,让程序暂停执行特定时间是常见需求,当需要引入不确定性时,随机休眠就成为关键技巧,下面我们就来看看Python中随机休眠技术的具体实现与应用吧... 目录引言一、实现原理与基础方法1.1 核心函数解析1.2 基础实现模板1.3 整数版实现二、典型应用场景2

SpringBoot使用OkHttp完成高效网络请求详解

《SpringBoot使用OkHttp完成高效网络请求详解》OkHttp是一个高效的HTTP客户端,支持同步和异步请求,且具备自动处理cookie、缓存和连接池等高级功能,下面我们来看看SpringB... 目录一、OkHttp 简介二、在 Spring Boot 中集成 OkHttp三、封装 OkHttp

Linux系统之主机网络配置方式

《Linux系统之主机网络配置方式》:本文主要介绍Linux系统之主机网络配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、查看主机的网络参数1、查看主机名2、查看IP地址3、查看网关4、查看DNS二、配置网卡1、修改网卡配置文件2、nmcli工具【通用

使用Python高效获取网络数据的操作指南

《使用Python高效获取网络数据的操作指南》网络爬虫是一种自动化程序,用于访问和提取网站上的数据,Python是进行网络爬虫开发的理想语言,拥有丰富的库和工具,使得编写和维护爬虫变得简单高效,本文将... 目录网络爬虫的基本概念常用库介绍安装库Requests和BeautifulSoup爬虫开发发送请求解

如何通过海康威视设备网络SDK进行Java二次开发摄像头车牌识别详解

《如何通过海康威视设备网络SDK进行Java二次开发摄像头车牌识别详解》:本文主要介绍如何通过海康威视设备网络SDK进行Java二次开发摄像头车牌识别的相关资料,描述了如何使用海康威视设备网络SD... 目录前言开发流程问题和解决方案dll库加载不到的问题老旧版本sdk不兼容的问题关键实现流程总结前言作为

SSID究竟是什么? WiFi网络名称及工作方式解析

《SSID究竟是什么?WiFi网络名称及工作方式解析》SID可以看作是无线网络的名称,类似于有线网络中的网络名称或者路由器的名称,在无线网络中,设备通过SSID来识别和连接到特定的无线网络... 当提到 Wi-Fi 网络时,就避不开「SSID」这个术语。简单来说,SSID 就是 Wi-Fi 网络的名称。比如