定义一:恶意代码又称恶意软件。这些软件也可称为广告软件、间谍软件、恶意共享软件。是指在未明确提示用户或未经用户许可的状况下,在用户计算机或其余终端上安装运行,侵犯用户合法权益的软件。与病毒或蠕虫不一样,这些软件不少不是小团体或者我的秘密地编写和散播,反而有不少知名企业和团体涉嫌此类软件。有时也称做流氓软件。安全
定义二:恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最多见的恶意代码有计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等。网络
首先在C盘中创立一个netstatlog记事本文件,而后打开它照下图编写。
tcp
打开命令行输入schtasks命令,建立了一个计划任务。
函数
而后咱们新建一个触发器。
工具
而后再新建一个操做。
性能
随后咱们以管理员身份运行一下netstatlog20145230会发如今txt日记本文档中出现了咱们的一些日志。
网站
在后门程序回连时,咱们用wireshark进行抓包能够获得一些信息。
命令行
在回连时,咱们也能够用netstat指令看到5230端口的状况。
设计
经过PROCESS MONITOR这个程序咱们能够看到系统中进程的更新、运行状态。
3d
经过PE这个软件咱们能够查看PE文件编译的一些基本信息。我刚刚用迅雷下载了PE,结果迅雷就出现了里面。
PEID这个软件的做用是用来查壳,也对恶意代码的分析有巨大做用,但我在百度上搜索到的这个版本感受很不靠谱,因此就没有下下来实验。
在Kali还没启动监听时咱们快照扫描一次主机,保存为#1。
在Kali启动监听时咱们扫描一下主机,保存为#2。
在主机中后门程序回连时,咱们再次快照,保存为#3。
在比较回连前和回连后的快照后,咱们能够发现,注册表的内容会有所变化,会多了一个KEY。
PS:因为我使用主机作的快照,所有文件扫描花的时间实在太长,我就自主选择了一些东西进行扫描,但也能够看出回连先后主机确实发生了变化。
在我使用sysmon时,安装的时候已经成功了,但在新建xml文件时会发生错误,重启过,从新安装过,但都不行,如今尚未解决这个问题,很苦恼。
此次实验正如指导书上说的,不是让咱们下多少软件,去了解每一个软件的用途,仍是要咱们经过软件学会分析一些内容,一些系统中的重要信息。这些信息与咱们的电脑性能及安全息息相关,好比哪天你快照时发现注册表忽然多出来一个什么东西,那你就得当心了,颇有可能就是恶意代码在做祟。我电脑开两台虚拟机作会很卡,因此此次实验我基本都用个人主机做为靶机来完成的,因此有些东西就很繁琐,由于内容实在太多了。惟一的遗憾就是sysmon那出了点问题,我试了不少不少次都仍是没有解决,我会一直尝试作下去!不抛弃不放弃,就是一种最好的精神。
1.若是在工做中怀疑一台主机上有恶意代码,但只是猜测,因此想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些,用什么方法来监控。
答:大概可分为动态分析和静态分析两部分。静态分析有:分析其函数连接库、壳的状况、特征库比对等操做,能够分出一部分恶意代码。但更多时候咱们须要动态分析,咱们能够经过进程随时观察咱们的计算机,还能够经过观察注册表的变化来监控恶意代码,分析计算机中的日志,上一些网站时还能够经过抓包来进行分析。
2.若是已经肯定是某个程序或进程有问题,你有什么工具能够进一步获得它的哪些信息。
答:使用systracer工具创建不一样的快照,而后进一步分析注册表、端口、文件等变化状况。TCPview能够用来查看TCP链接状况。sysmon来分析监控咱们的系统。wireshark能够进行网络抓包。