恶意软件样本行为分析——Process Monitor和Wireshark
1.1 实验名称
恶意软件样本行为分析
1) 熟悉 Process Monitor 的使用
2) 熟悉抓包工具 Wireshark 的使用
3) VMware 的熟悉和使用
4) 灰鸽子木马的行为分析
第一阶段:熟悉 Process Monitor 的使用
利用 Process Monitor 监视 WinRAR 的解压缩过程。
利用 Process Monitor 分析 WinRAR 的临时文件存放在哪个文件夹中。
WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭
打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用 Process Monitor 分析上述两种方式的异同点。
第二阶段:熟悉抓包工具 Wireshark 的使用
熟悉 Wireshark 软件的使用,着重掌握 Wireshark 的过滤器使用。
使用 Wireshark 抓取登录珞珈山水 BBS 的数据包,并通过分析数据包获得用户名和 密码。
第三阶段:VMware 的熟悉和使用
着重掌握 VMware 的网络设置方式,主要有 NAT 连接、桥接和 Host-Only 模式。 配置自己的木马分析环境。
第四阶段:灰鸽子木马的行为分析
熟悉灰鸽子木马的使用,利用灰鸽子木马控制虚拟机。
利用 Process Monitor 监控感染灰鸽子木马的被控端的文件行为和注册表行为。 利用 Wireshark 监控灰鸽子木马与控制端的网络通信。
提出灰鸽子木马的清除方案。
第五阶段:思考与实践
尝试对大白鲨木马或 PCShare 木马进行行为分析。
1.4 实验关键过程、数据及其分析
1.4.1 熟悉 Process Monitor 的使用
首先利用 Process Monitor 监视 WinRAR 的解压缩过程。打开软件 Process Monitor,并点击 filter。在弹出的对话框中 Architecture 下拉框,选择 Process Name 填写要分析的应用程序名字,点击 Add 添加、Apply 应用。这里也可以增加 其他过滤规则。
接着测试解压实验工具中的 rar 压缩包,同时检测 Process Monitor 的监控 信息,可以发现成功捕获到了 WinRAR 解压缩过程。
接下来利用 Process Monitor 分析 WinRAR 的临时文件存放在哪个文件夹中。
通过查看创建文件的操作对进程过滤,可以发现 WinRAR 相关的文件开启进 程操作,进而发现临时路径,右键 jump to,跳转到该路径。
可 以 看 到 WinRAR 的 解 压 缩 临 时 路 径 是 : C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$DIb0.604。
WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件, 再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。 利用 Process Monitor 分析上述两种方式的异同点。
测试先关闭文件,再关闭压缩包,Process Monitor 检测情况如下:
测试先关闭压缩包,再关闭文件,Process Monitor 检测情况如下:
实验结果显示文件是.txt 时两种方式没有明显的区别。但是当文件是 word 类型,如果先关闭压缩包再关闭 word 文档会导致文件存储失败。
Wireshark 是目前全球使用最广泛的开源抓包软件,其前身为 Ethereal,是 一个通用的网络数据嗅探器和协议分析器 。如果是网络工程师 ,可以通过 Wireshark 对网络进行故障定位和排错;如果安全工程师,可以通过 Wireshark
对网络黑客渗透攻击进行快速定位并找出攻击源。
首先进入 Wireshark 主界面选择以太网,点击 start 即开始抓包。
接着使用 Wireshark 抓取登录珞珈山水 BBS 的数据包,并通过分析数据包 获得用户名和密码。打开武汉大学 BBS 网站,利用 Wireshark 捕获数据包,对捕 获到的数据包进行过滤,看是否可以得到用户名和密码。
当输入用户名和密码,点击登录,可以看到 Wireshark 软件捕获到了很多流 量信息。
然后,我们需要通过过滤器获取 HTTP 协议且与该 IP 地址相关的信息。当我 们拿到一个网站,需要对其信息进行查询,包括 IP 地址、端口扫描等,这里通 过站长之家获取 IP 地址,再在 Wireshark 软件中过滤与该 IP 相关的流量信息。
接 着 配 置 Wireshark 的 过 滤 器 , 过 滤 条 件 是 “ http and
ip.addr==218.197.148.129”,仅抓取指定的包如下:
发现内容还是很多。进一步过滤“http and ip.addr==218.197.148.129 and http.request.method== ”POST ””
可以看到我们刚才登录时输入的账号(lmy)密码(123.com)全部出现。
相关文章:
恶意软件样本行为分析——Process Monitor和Wireshark
1.1 实验名称 恶意软件样本行为分析 1.2 实验目的 1) 熟悉 Process Monitor 的使用 2) 熟悉抓包工具 Wireshark 的使用 3) VMware 的熟悉和使用 4) 灰鸽子木马的行为分析 1.3 实验步骤及内容 第一阶段:熟悉 Process Monitor 的使用 利用 Process …...
【XR806开发板试用】通过http请求从心知天气网获取天气预报信息
1. 开发环境搭建 本次评测开发环境搭建在windows11的WSL2的Ubuntu20.04中,关于windows安装WSL2可以参考文章: Windows下安装Linux(Ubuntu20.04)子系统(WSL) (1) 在WSL的Ubuntu20.04下安装必要的工具的. 安装git: sudo apt-get install git …...
NPM介绍与使用
什么是NPM? NPM(Node Package Manager)是一个强大的包管理工具,专门用于Node.js应用程序的依赖管理。它允许开发者轻松地分享、安装、更新和管理项目中使用的库、工具和框架。 NPM的安装 在使用NPM之前,请确保你的机…...
servlet +thymeleaf渲染引擎
servlet thymeleaf渲染引擎 一、maven坐标 <dependency><groupId>org.thymeleaf</groupId><artifactId>thymeleaf</artifactId><version>3.0.12.RELEASE</version> <!-- 使用适当的Thymeleaf版本 --> </dependency> &…...
10分钟了解nextTick,并实现简易版本的nextTick
在 Vue.js 中,有一个特殊的方法 nextTick,它在 DOM 更新后执行一段代码,起到等待 DOM 绘制完成的作用。本文会详细介绍 nextTick 的原理和使用方法,并实现一个简易版的 nextTick,加深对它的理解。 一. 什么是 nextTic…...
oracle表空间对象迁移到其他表空间
oracle数据库的磁盘空间满了,除了简单粗暴的增加磁盘空间外,还可以缩小表空间的datafile,因为正常业务运行中,表数据的删除和增加,会造成表空间里面里面有很多空的地方。方案有很多种,我这里简单介绍一下&a…...
<stdlib.h>头文件: C 语言常用标准库函数详解
文章目录 引言1. <stdlib.h> 概览1.1 头文件包含 2. 内存管理函数2.1 malloc 函数2.2 calloc 函数2.3 realloc 函数2.4 free 函数 3. 随机数生成函数3.1 rand 函数3.2 srand 函数 4. 字符串转换函数4.1 atoi 函数4.2 atof 函数4.3 itoa 函数4.4 ltoa 函数4.5 ultoa函数 5…...
Qt前端技术:3.QSS字体样式
small-caps就是让这个文本中的小写字母用大写的形式写出来并且在用大写的形式表达出来后他本身的大小会变小 有绝对尺寸和相对尺寸的区别 绝对尺寸一般是cm,英寸之类的 相对尺寸如px之类的是由显示器的屏幕分辨率来决定的 如windows用户分辨率一般是96像素点每英…...
阿里面试官:面试了一个能力相当不错的候选人,但背调时,他前同事和领导都说他人品很差,纠结该不该要他?...
* 你好,我是前端队长,在职场,玩副业,文末有福利! 在职场中,背调是个躲不开的事情。不管是各行各业背调可能都存在,只是形式不同而已。而且现在大环境不好,可能对个人的要求还更高一些。 背调的主…...
如何设计树形结构
作者简介:大家好,我是smart哥,前中兴通讯、美团架构师,现某互联网公司CTO 联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬 前置知识:前…...
限量25台,川崎亮相Ninja ZX-10RR冬季限量款
最近川崎发布了自家ZX-10RR的超级限量版,官方称之为冬季测试版,之前也有一些车型推出过冬季测试版,通常是在年底推出,因为这个时候北半球都是非常寒冷的冬天。 不过这台ZX-10RR冬季测试版,并不仅仅只是限量那么简单&am…...
【QT八股文】系列之篇章1 | QT的基础知识及事件/机制
【QT八股文】系列之篇章1 | QT的基础知识及事件/机制 前言0. 基础Qt/PyQt5介绍/关联Qt的优缺点(为什么要用qt来做界面)Qt 的核心机制请简要介绍一下Qt中的主窗口(MainWindow)类,它有哪些重要的函数和成员变量ÿ…...
SpringBoot 3 集成Hive 3
前提条件: 运行环境:Hadoop 3.* Hive 3.* MySQL 8 ,如果还未安装相关环境,请参考:Hive 一文读懂 Centos7 安装Hadoop3 单机版本(伪分布式版本) SpringBoot 2 集成Hive 3 pom.xml <?xml ver…...
STL中优先队列的模拟实现与仿函数的介绍
文章目录 仿函数优先队列的模拟实现 仿函数 上回我们说到,优先队列的实现需要用到仿函数的特性 让我们再回到这里 这里我们发现他传入的用于比较的东西竟然是一个类模板,而不是我们所见到的函数 我们可以先创建一个类,用于比较大小 struc…...
LeetCode刷题--- 目标和
个人主页:元清加油_【C】,【C语言】,【数据结构与算法】-CSDN博客 个人专栏 力扣递归算法题 http://t.csdnimg.cn/yUl2I 【C】 http://t.csdnimg.cn/6AbpV 数据结构与算法 http://t.csdnimg.cn/hKh2l 前言:这个专栏主要讲述递归递归、搜…...
详解(二))
【.NET Core】反射(Reflection)详解(二)
【.NET Core】反射(Reflection)详解(二) 文章目录 【.NET Core】反射(Reflection)详解(二)一、概述二、Type类2.1 Type对象表示哪些类型2.2 获取Type及其关联对象类型的方式2.3 Type…...
【错误记录/js】保存octet-stream为文件后数据错乱
目录 说在前面场景解决方式其他 说在前面 后端:go、gin浏览器:Microsoft Edge 120.0.2210.77 (正式版本) (64 位) 场景 前端通过点击按钮来下载一些文件,但是文件内容是一些非文件形式存储的二进制数据。 后端代码 r : gin.Default()r.Stat…...
sql_lab之sqli中的post注入
Post注入 用burpsuit抓包去做 Post第一关:(gxa5) 1.判断是否存在注入 username1or 11 #&password123&submit%E7%99%BB%E5%BD%95 有回显 username1or 12 #&password123&submit%E7%99%BB%E5%BD%95 没有回显 则证明存在sq…...
智能优化算法应用:基于白冠鸡算法3D无线传感器网络(WSN)覆盖优化 - 附代码
智能优化算法应用:基于白冠鸡算法3D无线传感器网络(WSN)覆盖优化 - 附代码 文章目录 智能优化算法应用:基于白冠鸡算法3D无线传感器网络(WSN)覆盖优化 - 附代码1.无线传感网络节点模型2.覆盖数学模型及分析3.白冠鸡算法4.实验参数设定5.算法结果6.参考文…...
DETR++: Taming Your Multi-Scale Detection Transformer论文解读
文章目录 前言一、摘要二、引言三、相关研究四、模型方法1、Removing the Encoder方法2、Multi-Head方法3、Shifted Windows方法4、Bi-directional Feature Pyramid方法5、DETR方法 五、实验结果总结 前言 今天查看了一篇DETR论文,本想网络上找博客大概浏览一下&am…...
Vue记事本应用实现教程
文章目录 1. 项目介绍2. 开发环境准备3. 设计应用界面4. 创建Vue实例和数据模型5. 实现记事本功能5.1 添加新记事项5.2 删除记事项5.3 清空所有记事 6. 添加样式7. 功能扩展:显示创建时间8. 功能扩展:记事项搜索9. 完整代码10. Vue知识点解析10.1 数据绑…...
设计模式和设计原则回顾
设计模式和设计原则回顾 23种设计模式是设计原则的完美体现,设计原则设计原则是设计模式的理论基石, 设计模式 在经典的设计模式分类中(如《设计模式:可复用面向对象软件的基础》一书中),总共有23种设计模式,分为三大类: 一、创建型模式(5种) 1. 单例模式(Sing…...
)
rknn优化教程(二)
文章目录 1. 前述2. 三方库的封装2.1 xrepo中的库2.2 xrepo之外的库2.2.1 opencv2.2.2 rknnrt2.2.3 spdlog 3. rknn_engine库 1. 前述 OK,开始写第二篇的内容了。这篇博客主要能写一下: 如何给一些三方库按照xmake方式进行封装,供调用如何按…...
MVC 数据库
MVC 数据库 引言 在软件开发领域,Model-View-Controller(MVC)是一种流行的软件架构模式,它将应用程序分为三个核心组件:模型(Model)、视图(View)和控制器(Controller)。这种模式有助于提高代码的可维护性和可扩展性。本文将深入探讨MVC架构与数据库之间的关系,以…...
现代密码学 | 椭圆曲线密码学—附py代码
Elliptic Curve Cryptography 椭圆曲线密码学(ECC)是一种基于有限域上椭圆曲线数学特性的公钥加密技术。其核心原理涉及椭圆曲线的代数性质、离散对数问题以及有限域上的运算。 椭圆曲线密码学是多种数字签名算法的基础,例如椭圆曲线数字签…...
Matlab | matlab常用命令总结
常用命令 一、 基础操作与环境二、 矩阵与数组操作(核心)三、 绘图与可视化四、 编程与控制流五、 符号计算 (Symbolic Math Toolbox)六、 文件与数据 I/O七、 常用函数类别重要提示这是一份 MATLAB 常用命令和功能的总结,涵盖了基础操作、矩阵运算、绘图、编程和文件处理等…...
IT供电系统绝缘监测及故障定位解决方案
随着新能源的快速发展,光伏电站、储能系统及充电设备已广泛应用于现代能源网络。在光伏领域,IT供电系统凭借其持续供电性好、安全性高等优势成为光伏首选,但在长期运行中,例如老化、潮湿、隐裂、机械损伤等问题会影响光伏板绝缘层…...
JVM虚拟机:内存结构、垃圾回收、性能优化
1、JVM虚拟机的简介 Java 虚拟机(Java Virtual Machine 简称:JVM)是运行所有 Java 程序的抽象计算机,是 Java 语言的运行环境,实现了 Java 程序的跨平台特性。JVM 屏蔽了与具体操作系统平台相关的信息,使得 Java 程序只需生成在 JVM 上运行的目标代码(字节码),就可以…...
第八部分:阶段项目 6:构建 React 前端应用
现在,是时候将你学到的 React 基础知识付诸实践,构建一个简单的前端应用来模拟与后端 API 的交互了。在这个阶段,你可以先使用模拟数据,或者如果你的后端 API(阶段项目 5)已经搭建好,可以直接连…...
海云安高敏捷信创白盒SCAP入选《中国网络安全细分领域产品名录》
近日,嘶吼安全产业研究院发布《中国网络安全细分领域产品名录》,海云安高敏捷信创白盒(SCAP)成功入选软件供应链安全领域产品名录。 在数字化转型加速的今天,网络安全已成为企业生存与发展的核心基石,为了解…...