软件安全实验恶意软件样本行为分析信安X班XXXXXXXXXXXXXXXX文档格式.docx

软件安全实验恶意软件样本行为分析信安X班XXXXXXXXXXXXXXXX文档格式.docx

《软件安全实验恶意软件样本行为分析信安X班XXXXXXXXXXXXXXXX文档格式.docx》由会员分享，可在线阅读，更多相关《软件安全实验恶意软件样本行为分析信安X班XXXXXXXXXXXXXXXX文档格式.docx（10页珍藏版）》请在冰点文库上搜索。

五

六

七

八

总评

教师签名

成绩

武汉大学计算机学院

课程实验（设计）报告

课程名称：

实用新技术系列讲座

实验内容：

HomeworkAssignment#1

专业（班）：

信息安全专业（3班）

学号：

2010302530080

姓名：

赵旸頔

任课教师：

叶攀登

2013年5月31日

HomeworkAssignment#1

1.1课程名称

MultimediaSecuritySystems

1.2实验目的

1）熟悉注册表和文件监视工具的使用

2）学会从网络数据包中分析各类网络数据

3）熟悉恶意软件行为分析的基本步骤

4）针对特定的恶意代码程序，能够分析其大致行为，并找到相应的解除方法

1.3实验步骤及内容

第一阶段：

学会使用Procmon

⏹熟悉工具具体用途

⏹重点要熟悉过滤器的使用方法

利用Procmon监视Winrar解压缩过程

⏹监视解压缩过程

⏹监视直接在winrar中打开文件

分析winrar的临时文件放在哪个文件中

查看打开后先关闭文本文档和先关闭压缩文件的文件异同

第二阶段：

熟悉Wireshark的基本用法

⏹安装Wireshark，抓取网络数据包，熟悉该工具用法

⏹登陆自己的邮箱（或武汉大学BBS），利用Wireshark捕获数据包，对捕获到的数据包进行分析，看是否可以得到用户名和密码

第三阶段：

熟悉样本分析环境极其用法

⏹vmware的基本使用方式：

快照、网络设置

⏹恶意软件分析注意事项

⏹使用分析环境实际分析样本灰鸽子远控

⏹填写样本分析报告

4.4实验关键过程、数据及其分析

4.4.1学会使用Procmon

（一）熟悉工具具体用途

（二）重点要熟悉过滤器的使用方法

设置qq自启动

注册表修改项

4.4.2利用Procmon监视Winrar解压缩过程

（一）监视解压缩过程

（二）监视直接在winrar中打开文件

a）分析winrar的临时文件放在哪个文件中

b）查看打开后先关闭文本文档和先关闭压缩文件的文件异同

4.4.3熟悉Wireshark的基本用法

（一）安装Wireshark，抓取网络数据包，熟悉该工具用法

（二）登陆自己的邮箱（或武汉大学BBS），利用Wireshark捕获数据包，对捕获到的数据包进行分析，看是否可以得到用户名和密码

4.4.4熟悉样本分析环境极其用法

（一）vmware的基本使用方式：

（二）恶意软件分析注意事项

（三）使用分析环境实际分析样本灰鸽子远控

（四）填写样本分析报告。

连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制，避免了黑客之间的竞争。

服务端对客户端连接方式有多种，使得处于各种网络环境的用户都可能中毒，包括局域网用户（通过代理上网）、公网用户和ADSL拨号用户等。

只用一个端口来传输所有通讯数据，支持可以控制Internet连接共享、HTTP透明代理上网的电脑！

软件智能读取系统设定的代理服务器信息，无需用户设置。

可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能，支持Windows9x/ME/2000/Xp/2003。

便于黑客进行跳板攻击。

除了具有语音监听、语音发送，还有远程视频监控功能，只要远程计算机有摄像头，且正常打开没有被占用即可远程捕获的图片。

木马执行后释放的文件

4.5实验体会和拓展思考