一、基础问题回答
(1)总结一下监控一个系统通常需要监控什么、用什么来监控。
通常监控以下几项信息:
- 注册表信息的增删添改
- 系统上各类程序和文件的行为记录以及权限
- 实现网络连接的进程,使用的IP地址和端口号等
用以下软件工具来监控:
- TCPview工具查看系统的TCP连接信息
- wireshark进行抓包分析,查看网络连接
- sysmon用来监视和记录系统活动,并记录到windows事件日志,提供文件、进程等的详细信息
(2)如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程、恶意代码相关文件。
- 使用tcpview工具检测有哪些程序在进行网络连接
- 使用PE解析软件查看可疑进程的详细信息,查看其是否加壳,分析调用的DLL及其函数用途
- 去专业网站扫描可疑进程,查看测评分数与信息
- 使用快照分析进程对系统做了哪些改变,新增文件
- 使用抓包软件分析进程网络连接传输的数据
- 使用Dependency Walker来分析是否有关于注册表的异常行为等。
20145310《网络对抗》恶意代码分析
原文:http://www.cnblogs.com/pigeondandelion/p/6671014.html
