2015306 白皎 《网络攻防》Exp4 恶意代码分析

Posted 2020-10-30 0831j

2015306 白皎 《网络攻防》Exp4 恶意代码分析

• netstat 【Mac、Linux、Win】
• sysinteral 【MS】：1 2 3

一、系统监控——Windows计划任务schtasks

1.创建计划任务，使系统每5分钟自动检测到哪些有哪些程序在连接我们的网络。

注：任务将创建于当前登录的用户名文件夹下。

C:\\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\\netstatlog.txt"

TN：Task Name，本例中是netstat
SC: SChedule type,本例中是MINUTE,以分钟来计时
MO: MOdifier
TR: Task Run，要运行的指令是 netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口

2.我们在C盘要目录下建一个文件c:\\netstatlog.bat，并在其中编辑如下内容：

date /t >> c:\\netstatlog.txt
time /t >> c:\\netstatlog.txt
netstat -bn >> c:\\netstatlog.txt

同时，我们要自己C盘根目录下建立netstatlog.txt，为了更直观的看到检测到的程序的情况，我们打开图形界面中的计划任务，将netstatlog.txt替换为c:\\netstatlog.bat。具体方法：双击netstatlog任务——操作——编辑——程序或脚本——浏览目录（选择c:\\netstatlog.bat）——点击确定。然后运行任务~

这样，我们就可以在netstatlog.txt中会看到如下的内容，不仅有进行的IP，相关的协议等等还有具体的时间啦~如下图所示。

二、系统监控——Sysmon工具

遇到的小问题

1.问题：在查看netstatlog.txt，看连接情况，发现提示错误：请求的操作需要提升。

解决：可以明白是运行任务的权限不够，百度之后，发现以最高权限运行计划任务就可以啦。操作见教程 [计划任务 「请求的操作需要提升」 如何解决？]
(https://www.zhihu.com/question/22150878#answer-49279693)。