通常监控以下几项信息:
系统上各类程序和文件的行为记录以及权限
注册表信息的增删添改
监控软件:
TCPview工具查看系统的TCP连接信息
wireshark进行抓包分析
sysmon用来监视和记录系统活动
使用tcpview工具检测有哪些程序在进行网络连接
使用PE解析软件查看可疑进程的详细信息,查看其是否加壳,分析调用的DLL及其函数用途
去专业网站扫描可疑进程,查看测评分数也可分析文件行为
使用抓包软件分析进程网络连接传输的数据
使用Dependency Walker来分析是否有关于注册表的异常行为等。
恶意代码的静态分析
通过VirScan的行为分析来分析恶意代码:
在扫描文件后等待片刻出现文件行为分析后点击查看分析:
查看网络行为、注册表行为和其他行为:
查看发现文件会有建立到一个指定套接字连接的行为,自行删除注册表键和值的行为,检测自身是否被调试的行为。
PE explorer
用PE explorer打开文件test1.exe,查看PE文件编译的一些基本信息,导入导出表等。
点击一下上面的“导入表(Import)”,查看一下这个程序都调用了哪些dll文件:
ADVAPI32.dll文件是一个高级API应用程序接口服务库的一部分,调用这个dll可以实现对注册表的操控,WSOCK32.dll和WS2_32.dll这两个DLL用于创建套接字,即会发生网络连接。
PEiD
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。我们使用PEiD打开test1.exe来查看这个程序是否加壳。
Nothing found [Debug]没加壳?正常的编译会显示编译器,如果什么都没找到,说明可能不识别该编译器。可以查看反汇编之后的代码。
Dependency Walker
我们使用这个软件打开test1.exe
Dependency Walker能更专业,更细致具体的分析dll文件,条理更加清晰细致,功能强大。
从上图可以看出,通过查看DLL文件的函数,该可执行文件会删除注册表键和注册表键值。
Tcpview
SysTracer
Snapshot #1Snapshot #2Snapshot #4Snapshot #3我们可以通过“compare”操作来比较每次快照文件的区别。
对比Snapshot #1和Snapshot #2,可以看到注册表里面出现了新的表项,开放了新的端口。
安装到目标机时,文件内容监控发现多了个文件。
对比一下Snapshot #4和Snapshot #3。可以发现启动回连时注册表发生变化了,截屏时注册表也发生了一些变化。
netstat命令设置计划任务
在F盘中创建一个netstat5333.bat文件
date /t >> f:\netstat5333.txt
time /t >> f:\netstat5333.txt
netstat -bn >> f:\netstat5333.txt
在任务计划程序中,新建一个触发器。
将任务计划的操作选项栏的启动程序设为我们的netstat5333.bat,参数为>>f:\netstat5333.txt,这样我们的网络记录信息netstat5333.txt就会保存在f盘下。
用管理员权限运行,即可成功。
原文:http://www.cnblogs.com/dj20145339/p/6718925.html