2015306 白皎 《网络攻防》Exp4 恶意代码分析

Posted 0831j

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2015306 白皎 《网络攻防》Exp4 恶意代码分析相关的知识,希望对你有一定的参考价值。

2015306 白皎 《网络攻防》Exp4 恶意代码分析

  • netstat 【Mac、Linux、Win】
  • sysinteral 【MS】:1 2 3

一、系统监控——Windows计划任务schtasks

1.创建计划任务,使系统每5分钟自动检测到哪些有哪些程序在连接我们的网络。

注:任务将创建于当前登录的用户名文件夹下。

C:\\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\\netstatlog.txt"

TN:Task Name,本例中是netstat
SC: SChedule type,本例中是MINUTE,以分钟来计时
MO: MOdifier
TR: Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口

技术分享图片

2.我们在C盘要目录下建一个文件c:\\netstatlog.bat,并在其中编辑如下内容:

date /t >> c:\\netstatlog.txt
time /t >> c:\\netstatlog.txt
netstat -bn >> c:\\netstatlog.txt

同时,我们要自己C盘根目录下建立netstatlog.txt,为了更直观的看到检测到的程序的情况,我们打开图形界面中的计划任务,将netstatlog.txt替换为c:\\netstatlog.bat。具体方法:双击netstatlog任务——操作——编辑——程序或脚本——浏览目录(选择c:\\netstatlog.bat)——点击确定。然后运行任务~

技术分享图片

这样,我们就可以在netstatlog.txt中会看到如下的内容,不仅有进行的IP,相关的协议等等还有具体的时间啦~如下图所示。

技术分享图片

二、系统监控——Sysmon工具

遇到的小问题

1.问题:在查看netstatlog.txt,看连接情况,发现提示错误:请求的操作需要提升
技术分享图片

解决:可以明白是运行任务的权限不够,百度之后,发现以最高权限运行计划任务就可以啦。操作见教程 [计划任务 「请求的操作需要提升」 如何解决?]
(https://www.zhihu.com/question/22150878#answer-49279693)。
技术分享图片

以上是关于2015306 白皎 《网络攻防》Exp4 恶意代码分析的主要内容,如果未能解决你的问题,请参考以下文章

2015306 白皎 《网络攻防》EXP6 信息搜集与漏洞扫描

20155321 《网络攻防》 Exp4 恶意代码分析

20155334 《网络攻防》Exp4 恶意代码分析

20155306 白皎 《网络攻防》 EXP7 网络欺诈技术防范

20155306 白皎 《网络攻防》 EXP8 Web基础

2018-2019 20165208 网络对抗 Exp4 恶意代码分析