恶意软件样本行为分析——Process Monitor和Wireshark

1.1 实验名称

恶意软件样本行为分析

1.2 实验目的

1)     熟悉 Process Monitor  的使用

2)     熟悉抓包工具 Wireshark  的使用

3)    VMware  的熟悉和使用

4)     灰鸽子木马的行为分析

1.3 实验步骤及内容

第一阶段:熟悉 Process Monitor 的使用

利用 Process Monitor  监视 WinRAR  的解压缩过程。

利用 Process Monitor  分析 WinRAR  的临时文件存放在哪个文件夹中。

WinRAR  压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭

打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用 Process Monitor  分析上述两种方式的异同点。

第二阶段:熟悉抓包工具 Wireshark 的使用

熟悉 Wireshark  软件的使用,着重掌握 Wireshark  的过滤器使用。

使用 Wireshark  抓取登录珞珈山水 BBS  的数据包,并通过分析数据包获得用户名和 密码。

第三阶段:VMware 的熟悉和使用

着重掌握 VMware  的网络设置方式,主要有 NAT  连接、桥接和 Host-Only  模式。 配置自己的木马分析环境。

第四阶段:灰鸽子木马的行为分析

熟悉灰鸽子木马的使用,利用灰鸽子木马控制虚拟机。

利用 Process Monitor  监控感染灰鸽子木马的被控端的文件行为和注册表行为。 利用 Wireshark  监控灰鸽子木马与控制端的网络通信。

提出灰鸽子木马的清除方案。

第五阶段:思考与实践

尝试对大白鲨木马或 PCShare  木马进行行为分析。

1.4 实验关键过程、数据及其分析

1.4.1  熟悉 Process Monitor 的使用

首先利用 Process Monitor 监视 WinRAR 的解压缩过程。打开软件 Process Monitor,并点击 filter。在弹出的对话框中 Architecture 下拉框,选择 Process Name 填写要分析的应用程序名字,点击 Add 添加、Apply 应用。这里也可以增加 其他过滤规则。

接着测试解压实验工具中的 rar 压缩包,同时检 Process Monitor 的监控 信息,可以发现成功捕获到了 WinRAR 解压缩过程。

接下来利用 Process Monitor 分析 WinRAR 的临时文件存放在哪个文件夹中。

通过查看创建文件的操作对进程过滤,可以发现 WinRAR 相关的文件开启进 程操作,进而发现临时路径,右键 jump to,跳转到该路径。

可 以 看 到 WinRAR  的 解 压 缩 临 时 路 径 是 : C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$DIb0.604。

WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件, 再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。 利用 Process Monitor 分析上述两种方式的异同点。

测试先关闭文件,再关闭压缩包,Process Monitor 检测情况如下:

测试先关闭压缩包,再关闭文件,Process Monitor 检测情况如下:

实验结果显示文件是.txt 时两种方式没有明显的区别。但是当文件是 word 类型,如果先关闭压缩包再关闭 word 文档会导致文件存储失败。

1.4.2 熟悉抓包工具 Wireshark 的使用

Wireshark 是目前全球使用最广泛的开源抓包软件,其前身为 Ethereal,是 一个通用的网络数据嗅探器和协议分析器 。如果是网络工程师 ,可以通过 Wireshark 对网络进行故障定位和排错;如果安全工程师,可以通过 Wireshark

对网络黑客渗透攻击进行快速定位并找出攻击源。

首先进入 Wireshark 主界面选择以太网,点击 start 开始抓包。

接着使用 Wireshark 抓取登录珞珈山水 BBS 的数据包,并通过分析数据包 获得用户名和密码。打开武汉大学 BBS 网站,利用 Wireshark 捕获数据包,对捕 获到的数据包进行过滤,看是否可以得到用户名和密码。

当输入用户名和密码,点击登录,可以看到 Wireshark 软件捕获到了很多流 量信息。

然后,我们需要通过过滤器获取 HTTP 协议且与该 IP 地址相关的信息。当我 们拿到一个网站,需要对其信息进行查询,包括 IP 地址、端口扫描等,这里通 过站长之家获取 IP 地址,再在 Wireshark 软件中过滤与该 IP 相关的流量信息。

接 着 配 置 Wireshark  的 过 滤         http  and

ip.addr==218.197.148.129”,仅抓取指定的包如下:

发现内容还是很多。进一步过滤“http and ip.addr==218.197.148.129 and http.request.method== POST ””

可以看到我们刚才登录时输入的账号(lmy)密码(123.com)全部出现。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/237501.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Linux笔记---文件和目录操作

🍎个人博客:个人主页 🏆个人专栏:Linux学习 ⛳️ 功不唐捐,玉汝于成 目录 前言 命令 ls (List): pwd (Print Working Directory): cp (Copy): mv (Move): rm (Remove): 结语 我的其他博客 前言 学习Linux命令…

Centos 7.9安装Oracle19c步骤亲测可用有视频

视频介绍了在虚拟机安装centos 7.9并安装数据库软件的全过程 视频链接:https://www.zhihu.com/zvideo/1721267375351996416 下面的文字描述是安装数据库的部分介绍 一.安装环境准备 链接:https://pan.baidu.com/s/1Ogn47UZQ2w7iiHAiVdWDSQ 提取码&am…

页面级UI状态存储LocalStorage

目录 1、LocalStorageProp 2、LocalStorageLink 3、LocalStorage的使用 4、从UI内部使用LocalStorage 5、LocalStorageProp和LocalStorage单向同步的简单场景 6、LocalStorageLink和LocalStorage双向同步的简单场景 7、兄弟节点之间同步状态变量 LocalStorage是页面级的…

JMeter常见配置及常见问题修改

一、设置JMeter默认打开字体 1、进入安装目录:apache-jmeter-x.x.x\bin\ 2、找到 jmeter.properties,打开。 3、搜索“ languageen ”,前面带有“#”号.。 4、去除“#”号,并修改为:languagezh_CN 或 直接新增一行&…

《代码整洁之道:程序员的职业素养》读后感

概述 工作即将满8年,如果算上2年实习的话,满打满算我已经走过将近10年的程序员编码生涯。关于Spring Boot知识点,关于微服务理论,也已经看过好几本书籍,看过十几篇技术Blog,甚至自己也写过相关技术Blog。 …

以存算一体芯片加速汽车智能化进程,后摩智能带来更优解?

汽车产业的长期价值锚点已悄然变化,催生出新的商业机遇。 过去,在燃油车市场,燃油经济性和品牌认知度等是重要的消费决策因素和资本价值衡量标准,但在新能源时代,产业价值聚焦在两方面,一是电动化&#xf…

Netty Review - Netty与Protostuff:打造高效的网络通信

文章目录 概念PrePomServer & ClientProtostuffUtil 解读测试小结 概念 Pre 每日一博 - Protobuf vs. Protostuff&#xff1a;性能、易用性和适用场景分析 Pom <dependency><groupId>com.dyuproject.protostuff</groupId><artifactId>protostuff-…

论文阅读——RS DINO

RS DINO: A Novel Panoptic Segmentation Algorithm for High Resolution Remote Sensing Images 基于MASKDINO模型&#xff0c;加了两个模块&#xff1a; BAM&#xff1a;Batch Attention Module 遥感图像切分的时候把一个建筑物整体比如飞机场切分到不同图片中&#xff0c;…

STM32微控制器在热电偶传感器应用中的性能评估

热电偶传感器是一种常用的温度测量技术&#xff0c;广泛应用于工业和自动化领域。在本文中&#xff0c;我们将探讨STM32微控制器在热电偶传感器应用中的性能评估。我们将涵盖STM32的特性、热电偶传感器的原理、硬件连接、软件编程以及性能评估的方法和指标。 STM32微控制器的特…

swing快速入门(二十三)弹球小游戏

注释很详细&#xff0c;直接上代码 上一篇 新增内容 1. 键盘响应监听 2. 使用定时器事件更新画板 3. 定时器事件的开始与暂停 4. 弹球小游戏的坐标逻辑判断 import javax.swing.*; import java.awt.*; import java.awt.event.*;public class swing_test_19 {//创建一个窗…

Ubuntu 常用命令之 du 命令用法介绍

&#x1f4d1;Linux/Ubuntu 常用命令归类整理 Ubuntu系统下的du命令是一个用来估计和显示文件和目录所占用的磁盘空间的命令。du是“disk usage”的缩写&#xff0c;这个命令可以帮助用户了解磁盘被哪些文件和目录使用。 du命令的常见参数有 -a&#xff1a;列出所有文件和目…

React网页转换为pdf并下载|使用jspdf html2canvas

checkout 分支后突然报错&#xff0c;提示&#xff1a; Cant resolve jspdf in ... Cant resolve html2canvas in ... 解决方法很简单&#xff0c;重新 yarn install 就好了&#xff0c;至于为什么&#xff0c;我暂时也不知道&#xff0c;总之解决了。 思路来源&#xff1a; 先…

JVM启动流程(JDK8)

JVM启动流程(JDK8) JVM的启动入口是位于jdk/src/share/bin/java.c的JLI_Launch函数,其定义如下: int JLI_Launch(int argc, char ** argv, /* main argc, argc */int jargc, const char** jargv, /* java args */int appclassc, const char** appclass…

centos7安装开源日志系统graylog5.1.2

安装包链接&#xff1a;链接&#xff1a;https://pan.baidu.com/s/1Zl5s7x1zMWpuKfaePy0gPg?pwd1eup 提取码&#xff1a;1eup 这里采用的shell脚本安装&#xff0c;脚本如下&#xff1a; 先使用命令产生2个参数代入到脚本中&#xff1a; 使用pwgen生成password_secret密码 …

在ClickHouse数据库中启用预测功能

在这篇博文中&#xff0c;我们将介绍如何将机器学习支持的预测功能与 ClickHouse 数据库集成。ClickHouse 是一个快速、开源、面向列的 SQL 数据库&#xff0c;对于数据分析和实时分析非常有用。该项目由 ClickHouse&#xff0c; Inc. 维护和支持。我们将探索它在需要数据准备以…

C++中多态的原理

文章目录 前言多态的原理多态的条件要求虚函数表用程序打印虚表多继承的虚函数表静态多态和动态多态菱形虚拟继承 前言 上篇讲解了多态的原理&#xff0c;这篇文章来详细讲解一下多态的原理。 这里有一道常考笔试题&#xff1a;sizeof(Base)是多少&#xff1f; 为什么不是8&…

【CF闯关练习】—— 800分段

&#x1f30f;博客主页&#xff1a;PH_modest的博客主页 &#x1f6a9;当前专栏&#xff1a;cf闯关练习 &#x1f48c;其他专栏&#xff1a; &#x1f534;每日一题 &#x1f7e1; C跬步积累 &#x1f7e2; C语言跬步积累 &#x1f308;座右铭&#xff1a;广积粮&#xff0c;缓…

推荐一个vscode看着比较舒服的主题:Dark High Contrast

主题名称&#xff1a;Dark High Contrast &#xff08;意思就是&#xff0c;黑色的&#xff0c;高反差的&#xff09; 步骤&#xff1a;设置→Themes→Color Theme→Dark High Contrast 效果如下&#xff1a; 感觉这个颜色的看起来比较舒服。

腾讯云发布升级版金融音视频解决方案,提供全新架构、安全和特性

远程银行、视频尽调、全媒体客服、路演直播……近年来&#xff0c;音视频技术支撑下的非接触式金融服务&#xff0c;成为了金融机构数字化转型和探索服务创新的重要方向。 12月21日&#xff0c;腾讯云正式发布升级版金融级音视频解决方案。新方案在架构、安全和特性上进行全面…