当前位置：首页 > news >正文

恶意软件样本行为分析——Process Monitor和Wireshark

news 文章来源：https://blog.csdn.net/weixin_49816179/article/details/135142741 2024/11/15 12:23:40

1.1 实验名称

恶意软件样本行为分析

1.2 实验目的

1) 熟悉 Process Monitor 的使用

2) 熟悉抓包工具 Wireshark 的使用

3) VMware 的熟悉和使用

4) 灰鸽子木马的行为分析

1.3 实验步骤及内容

第一阶段：熟悉 Process Monitor 的使用

利用 Process Monitor 监视 WinRAR 的解压缩过程。

利用 Process Monitor 分析 WinRAR 的临时文件存放在哪个文件夹中。

WinRAR 压缩包内文件直接打开后，有两种关闭方式：先关闭打开的文件，再关闭

打开的压缩包。另外一种方式是先关闭打开的压缩包，再关闭打开的文件。利用 Process Monitor 分析上述两种方式的异同点。

第二阶段：熟悉抓包工具 Wireshark 的使用

熟悉 Wireshark 软件的使用，着重掌握 Wireshark 的过滤器使用。

使用 Wireshark 抓取登录珞珈山水 BBS 的数据包，并通过分析数据包获得用户名和密码。

第三阶段：VMware 的熟悉和使用

着重掌握 VMware 的网络设置方式，主要有 NAT 连接、桥接和 Host-Only 模式。配置自己的木马分析环境。

第四阶段：灰鸽子木马的行为分析

熟悉灰鸽子木马的使用，利用灰鸽子木马控制虚拟机。

利用 Process Monitor 监控感染灰鸽子木马的被控端的文件行为和注册表行为。利用 Wireshark 监控灰鸽子木马与控制端的网络通信。

提出灰鸽子木马的清除方案。

第五阶段：思考与实践

尝试对大白鲨木马或 PCShare 木马进行行为分析。

1.4 实验关键过程、数据及其分析

1.4.1 熟悉 Process Monitor 的使用

首先利用 Process Monitor 监视 WinRAR 的解压缩过程。打开软件 Process Monitor，并点击 filter。在弹出的对话框中 Architecture 下拉框，选择 Process Name 填写要分析的应用程序名字，点击 Add 添加、Apply 应用。这里也可以增加其他过滤规则。

接着测试解压实验工具中的 rar 压缩包，同时检测 Process Monitor 的监控信息，可以发现成功捕获到了 WinRAR 解压缩过程。

接下来利用 Process Monitor 分析 WinRAR 的临时文件存放在哪个文件夹中。

通过查看创建文件的操作对进程过滤，可以发现 WinRAR 相关的文件开启进程操作，进而发现临时路径，右键 jump to，跳转到该路径。

可以看到 WinRAR 的解压缩临时路径是： C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$DIb0.604。

WinRAR 压缩包内文件直接打开后，有两种关闭方式：先关闭打开的文件，再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包，再关闭打开的文件。利用 Process Monitor 分析上述两种方式的异同点。

测试先关闭文件，再关闭压缩包，Process Monitor 检测情况如下：

测试先关闭压缩包，再关闭文件，Process Monitor 检测情况如下：

实验结果显示文件是.txt 时两种方式没有明显的区别。但是当文件是 word 类型，如果先关闭压缩包再关闭 word 文档会导致文件存储失败。

1.4.2 熟悉抓包工具 Wireshark 的使用

Wireshark 是目前全球使用最广泛的开源抓包软件，其前身为 Ethereal，是一个通用的网络数据嗅探器和协议分析器。如果是网络工程师，可以通过 Wireshark 对网络进行故障定位和排错；如果安全工程师，可以通过 Wireshark

对网络黑客渗透攻击进行快速定位并找出攻击源。

首先进入 Wireshark 主界面选择以太网，点击 start 即开始抓包。

接着使用 Wireshark 抓取登录珞珈山水 BBS 的数据包，并通过分析数据包获得用户名和密码。打开武汉大学 BBS 网站，利用 Wireshark 捕获数据包，对捕获到的数据包进行过滤，看是否可以得到用户名和密码。

当输入用户名和密码，点击登录，可以看到 Wireshark 软件捕获到了很多流量信息。

然后，我们需要通过过滤器获取 HTTP 协议且与该 IP 地址相关的信息。当我们拿到一个网站，需要对其信息进行查询，包括 IP 地址、端口扫描等，这里通过站长之家获取 IP 地址，再在 Wireshark 软件中过滤与该 IP 相关的流量信息。

接着配置 Wireshark 的过滤器，过滤条件是 “ http and

ip.addr==218.197.148.129”，仅抓取指定的包如下：

发现内容还是很多。进一步过滤“http and ip.addr==218.197.148.129 and http.request.method== ”POST ””

可以看到我们刚才登录时输入的账号（lmy）密码（123.com）全部出现。

恶意软件样本行为分析——Process Monitor和Wireshark

相关文章：

恶意软件样本行为分析——Process Monitor和Wireshark

【XR806开发板试用】通过http请求从心知天气网获取天气预报信息

NPM介绍与使用

servlet +thymeleaf渲染引擎

10分钟了解nextTick，并实现简易版本的nextTick

oracle表空间对象迁移到其他表空间

＜stdlib.h＞头文件: C 语言常用标准库函数详解

Qt前端技术：3.QSS字体样式

阿里面试官：面试了一个能力相当不错的候选人，但背调时，他前同事和领导都说他人品很差，纠结该不该要他？...

如何设计树形结构

限量25台，川崎亮相Ninja ZX-10RR冬季限量款

【QT八股文】系列之篇章1 | QT的基础知识及事件/机制

SpringBoot 3 集成Hive 3

STL中优先队列的模拟实现与仿函数的介绍

LeetCode刷题--- 目标和

【.NET Core】反射（Reflection）详解（二）

【错误记录/js】保存octet-stream为文件后数据错乱

sql_lab之sqli中的post注入

智能优化算法应用：基于白冠鸡算法3D无线传感器网络(WSN)覆盖优化 - 附代码

DETR++: Taming Your Multi-Scale Detection Transformer论文解读

高级数据结构＜二叉搜索树＞

蚂蚁集团5大开源项目获开放原子 “2023快速成长开源项目”

SpringBoot+JaywayJsonPath实现Json数据的DSL(按照指定节点表达式解析json获取指定数据)

气压计LPS28DFW开发(2)----水压检测

设计模式之-装饰模式，快速掌握装饰模式，通俗易懂的讲解装饰模式以及它的使用场景

计算机网络个人小结

酒店网站搭建的作用是什么

俄罗斯联邦税务局遭乌克兰入侵，数据库和副本被清空，政府数据安全不容忽视

WPF组合控件TreeView+DataGrid之TreeView封装

redisson 哨兵模式配置

做园林景观的网站/seo技术优化

自己做网站多少钱/磁力吧最佳搜索引擎

做响应式网站的/百度账号注册申请

汉中做网站/网络推广客服好做吗

乐云seo商城网站建设/男生最喜欢的浏览器

建设网站要什么/在线排名优化