實驗四 惡意代碼分析

1.系統運行監控

實驗步驟如下

• 1.使用批處理監控程序連接網絡的狀況
  在C盤要目錄下建一個文件c:\netstatlog.bat，內容如下：
  date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt
  創建計劃任務
  C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn >> c:\netstatlog.bat"
  
  
  
  一段時間后，開始分析產生的數據，尷尬的是不太會用excel，于是先用python對數據進行處理再導入到excel中
  f = open("C:\\netstatlog.txt") s = f.read() lines = s.split("\n") dict = {} for line in lines: if line.find("exe")>0: line = line[2:-1] if dict.get(line) == None: dict[line] = 1 else: dict[line] += 1 d = open("C:\\a.xls","w") for key in dict: result = key result += "\t" result += str(dict[key]) result += "\n" d.write(result)
  就成了這樣。
  
  

• 2.使用sysmon工具監控系統運行

  • 1.修改配置文件
    ```
    
    
    *
    
    
    
    
    microsoft
    windows
    

    
    chrome.exe
    iexplorer.exe
    137
    127.0.0.1
    

    
    explorer.exe
    svchost.exe
    winlogon.exe
    powershell.exe
    
    
    
    保存配置 sysmon.exe -c config_file_name 啟動服務 sysmon.exe -i config_file_name ```

  • 2.查看事件日志

  • 3.觀測惡意程序
    
    可以看出后門遷移到了explorer進程中

• 3.Process Explorer
  

轉載于:https://www.cnblogs.com/20155222lzj/p/8870263.html

總結

以上是生活随笔為你收集整理的20155222卢梓杰 实验四 恶意代码分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。