2015306 白皎 《网络攻防》Exp4 恶意代码分析
Posted 0831j
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2015306 白皎 《网络攻防》Exp4 恶意代码分析相关的知识,希望对你有一定的参考价值。
2015306 白皎 《网络攻防》Exp4 恶意代码分析
- netstat 【Mac、Linux、Win】
- sysinteral 【MS】:1 2 3
一、系统监控——Windows计划任务schtasks
1.创建计划任务,使系统每5分钟自动检测到哪些有哪些程序在连接我们的网络。
注:任务将创建于当前登录的用户名文件夹下。
C:\\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\\netstatlog.txt"
TN:Task Name,本例中是netstat
SC: SChedule type,本例中是MINUTE,以分钟来计时
MO: MOdifier
TR: Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口
2.我们在C盘要目录下建一个文件c:\\netstatlog.bat,并在其中编辑如下内容:
date /t >> c:\\netstatlog.txt
time /t >> c:\\netstatlog.txt
netstat -bn >> c:\\netstatlog.txt
同时,我们要自己C盘根目录下建立netstatlog.txt,为了更直观的看到检测到的程序的情况,我们打开图形界面中的计划任务,将netstatlog.txt替换为c:\\netstatlog.bat。具体方法:双击netstatlog任务——操作——编辑——程序或脚本——浏览目录(选择c:\\netstatlog.bat)——点击确定。然后运行任务~
这样,我们就可以在netstatlog.txt中会看到如下的内容,不仅有进行的IP,相关的协议等等还有具体的时间啦~如下图所示。
二、系统监控——Sysmon工具
遇到的小问题
1.问题:在查看netstatlog.txt,看连接情况,发现提示错误:请求的操作需要提升。
解决:可以明白是运行任务的权限不够,百度之后,发现以最高权限运行计划任务就可以啦。操作见教程 [计划任务 「请求的操作需要提升」 如何解决?]
(https://www.zhihu.com/question/22150878#answer-49279693)。
以上是关于2015306 白皎 《网络攻防》Exp4 恶意代码分析的主要内容,如果未能解决你的问题,请参考以下文章
2015306 白皎 《网络攻防》EXP6 信息搜集与漏洞扫描