首页 > 代码库 > 20145225唐振远《网络对抗》Exp4 恶意代码分析
20145225唐振远《网络对抗》Exp4 恶意代码分析
20145225唐振远《网络对抗》Exp4 恶意代码分析
基础问题回答
- 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 使用Windows自带的
schtasks
指令设置一个计划任务,指定每隔一定时间记录主机的联网记录或者是端口开放、注册表信息等等; - 通过
sysmon
工具,配置好想记录事件的文件,之后在事件查看器里找到相关日志文件便可以查看; - 使用
Process Explorer
工具,监视进程执行情况,查看是否有程序调用了异常的dll库之类的。
- 使用Windows自带的
- 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 使用
Wireshark
进行抓包分析,查看该程序联网时进行了哪些操作; - 使用
systracer
工具分析某个程序执行前后,计算机注册表、文件、端口的一些变化情况。
- 使用
实践过程记录
GE_Windows计划任务schtasks
1.打开任务计划程序
,创建任务,
使用最高权限运行
20145225唐振远《网络对抗》Exp4 恶意代码分析
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。