三只松鼠网站谁做的,网站建设外包公司招聘,办公空间设计平面图,佛山网站建设 乐云践新专家20145217《网络对抗》 免杀原理与实践 知识点学习总结 进行恶意代码分析之前必须具备以下知识#xff1a;编程、汇编/反汇编、网络基本知识、PE文件结构以及一些常用行为分析软件。 一、在一个已经感染了恶意代码的机器上如何找到病毒文件#xff1f; 找到恶意代码才能对其分…20145217《网络对抗》 免杀原理与实践 知识点学习总结 进行恶意代码分析之前必须具备以下知识编程、汇编/反汇编、网络基本知识、PE文件结构以及一些常用行为分析软件。 一、在一个已经感染了恶意代码的机器上如何找到病毒文件 找到恶意代码才能对其分析找到恶意代码文件就是就是分析的第一步一般来讲恶意代码运行必然会创建一个进程而这个进程就是我们找到他的突破口一个打开的进程可以通过任务管理器、Process Explorer等来找到其映像文件的地址这样就能找到恶意代码文件了但是现在的恶意代码可能其自身的进程隐藏一般来讲隐藏进程的方式就是“脱链”在PEB中有三条链表其中一条链表的指向进程该链表的每一个元素代表着每一个进程如果想对某进程隐藏那么进行“脱链”即可。二、如何通过静态基础分析获取一些相关信息 首先我们用PEID查看一些基本信息用PE explorer等软件查看导入表一个程序想对你的电脑进行某些操作那么它必然会调用系统API而导入表可以告诉我们这个程序调用了哪些API我们凭借这些导入函数可以大致猜测一下这个程序作了什么。可以对我们提供有效信息的不是只有导入表查看字符串也经常会有一些意外收获这个时候我们可以使用微软提供的控制台工具Strings查看程序的字符串信息通过查看字符串可以获取很多提示。三、如何确定恶意代码究竟干了些什么 这个时候那就需要用到动态基础分析了别犹豫上虚拟机跑起来看看吧跑之前我们先要打开一些行为监控软件常用的是微软提供的Process Monitor、Process Explorer等这些软件可以监控到注册表、文件、进程、模块、网络、用户等等等等信息。还可以使用systracer拍摄快照并对比。很多后门和木马程序还会采用反弹式连接的方式链接到别的主机这是可以采用nestat、wireshark等抓包工具进行抓包确定其网络行为发现攻击的主机后期杀毒再做针对处理。实验过程概述 一、virscan扫描结果分析 编译器visual C5.0两大主要行为网络行为和注册表行为反弹连接一个IP并修改注册列表。 二、peid扫描结果分析 结果显然是没有加壳。在这里我们又见到了编译器信息。pied能够显示反汇编代码以及一些地址信息不过最重要的作用还是查壳脱壳对文件信息的分析不如接下来的两款PE软件好用。 三、Dependency Walker扫描结果分析 这个软件把程序的dll层级调用列出来了他调用了什么dll那些dll又调用了哪些文件。 通过分析可以得到该程序对注册列表有改动的动作。 四、PE explorer扫描结果分析 文件头信息可以看到文件编译时间连接器等信息。 表信息这里主要查看第二个导入表即调用了什么dll。 分节信息缺点是显示以ascll码表示看不出所以然来。 五、systracer分析恶意代码回连前后情况 运行程序多了cad5217.exe这样一个进程。 载入的dll文件cad5217调用了大量dll文件很多在之前的引入表中也能看到。 开放端口可以看到cad5217程序通过tcp连接一个192.168.150.132的443端口。 六、wireshark分析恶意代码回连前后情况 我们知道443端口是https服务端口通常采用ssl/tls安全通信协议。这里的大量ssl包和tcp包数据部分都是乱码是经过加密处理的。 七、TCPview分析恶意代码回连前后情况 易看出在回连后出现cad5217这个进程PID为3617并且具有网络行为是连接另一台主机的https端口。 TCPview不仅可以查看还可以结束这个进程还可以告诉你这个程序在你的机器上那个位置为清除提供方便。 结束进程后linux这边显示程序die了。 八、Process monitor查看恶意代码回连前后情况 可以看到回连后程序信息成功运行、日期时间 可以看到父进程PID查了一下是windows资源管理器 九、Process Explorer查看恶意代码回连前后情况 可以看到回连后程序信息 Process Explorer更像一个详细版的任务管理器把进程的各种信息都直观地展示出来。双击后可以查看各种属性。具有网络连接行为 改程序跟ntdll.dll直接相关。ntdll.dll描述了windows本地NTAPI的接口。是重要的Windows NT内核级文件。 十、netstat查看恶意代码回连前后情况 可以看到正在联网到192.168.150.132:443连接时建立的。这个小程序并不是太好用虽然可以通过建立新任务的方式让它在后台不停地进行记录但并不详细当有其他程序时显然用其他程序更好。 还遇到权限不够的问题 权限解决勾选以最高权限运行。 效果图 十一、sysmon查看恶意代码回连前后情况 安装失败了 转载于:https://www.cnblogs.com/jokebright/p/6642187.html
