恶意代码分析实战-行为监控

Posted 17bdw

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了恶意代码分析实战-行为监控相关的知识,希望对你有一定的参考价值。

进程监视器

ProcessMonitor是Windows系统下的高级监视工具,提供一种方式来监控注册表、文件系统、网络、进程和线程行为。

通过Filter-Filter打开过滤菜单,过滤文件行为

查找PID、针对某些特定的函数过滤,比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。

进程浏览器

Process Explorer(进程浏览器)监视系统上执行的进程,以树状结构进行显示。

  • 查看进程中的DLL
  • 验证签名
  • 比较进程的字符串(内存、文件),判断有没有被内存注入
  • Find DLL功能:在磁盘上尝试发现一个恶意的DLL,并且想知道是否有运行进程使用了这个DLL,就可以进行查找。

网络监控-ApateDNS

ApateDNS可以对用户指定的IP地址给出虚假的DNS响应,用你指定的IP地址去响应DNS查询请求。

监听某个端口-NetCat

通过ApateDNS把恶意代码请求的C2网址查询请求重定向到本机,可以在执行恶意代码前,用NetCat监听连接。

监听80端口请求:

netcat -l -p 80

Wireshark数据包监听

嗅探恶意代码通信数据包

使用INetSim

基于Linux模拟常见网络服务的免费软件,通过模拟服务(HTTP、HTTPS、FTP、IRC、DNS、SMTP等),分析未知恶意代码的网络行为。

以上是关于恶意代码分析实战-行为监控的主要内容,如果未能解决你的问题,请参考以下文章

恶意代码分析实战3-34

恶意代码分析实战3-34

恶意代码分析实战12-03

恶意代码分析实战12-03

2018/11/08-调试器-《恶意代码分析实战》

20145309 《网络攻防》恶意代码分析