软件安全实验恶意软件样本行为分析信安X班XXXXXXXXXXXXXXXX文档格式.docx
《软件安全实验恶意软件样本行为分析信安X班XXXXXXXXXXXXXXXX文档格式.docx》由会员分享,可在线阅读,更多相关《软件安全实验恶意软件样本行为分析信安X班XXXXXXXXXXXXXXXX文档格式.docx(10页珍藏版)》请在冰点文库上搜索。
五
六
七
八
总评
教师签名
成绩
武汉大学计算机学院
课程实验(设计)报告
课程名称:
实用新技术系列讲座
实验内容:
HomeworkAssignment#1
专业(班):
信息安全专业(3班)
学号:
2010302530080
姓名:
赵旸頔
任课教师:
叶攀登
2013年5月31日
HomeworkAssignment#1
1.1课程名称
MultimediaSecuritySystems
1.2实验目的
1)熟悉注册表和文件监视工具的使用
2)学会从网络数据包中分析各类网络数据
3)熟悉恶意软件行为分析的基本步骤
4)针对特定的恶意代码程序,能够分析其大致行为,并找到相应的解除方法
1.3实验步骤及内容
第一阶段:
学会使用Procmon
⏹熟悉工具具体用途
⏹重点要熟悉过滤器的使用方法
利用Procmon监视Winrar解压缩过程
⏹监视解压缩过程
⏹监视直接在winrar中打开文件
分析winrar的临时文件放在哪个文件中
查看打开后先关闭文本文档和先关闭压缩文件的文件异同
第二阶段:
熟悉Wireshark的基本用法
⏹安装Wireshark,抓取网络数据包,熟悉该工具用法
⏹登陆自己的邮箱(或武汉大学BBS),利用Wireshark捕获数据包,对捕获到的数据包进行分析,看是否可以得到用户名和密码
第三阶段:
熟悉样本分析环境极其用法
⏹vmware的基本使用方式:
快照、网络设置
⏹恶意软件分析注意事项
⏹使用分析环境实际分析样本灰鸽子远控
⏹填写样本分析报告
4.4实验关键过程、数据及其分析
4.4.1学会使用Procmon
(一)熟悉工具具体用途
(二)重点要熟悉过滤器的使用方法
设置qq自启动
注册表修改项
4.4.2利用Procmon监视Winrar解压缩过程
(一)监视解压缩过程
(二)监视直接在winrar中打开文件
a)分析winrar的临时文件放在哪个文件中
b)查看打开后先关闭文本文档和先关闭压缩文件的文件异同
4.4.3熟悉Wireshark的基本用法
(一)安装Wireshark,抓取网络数据包,熟悉该工具用法
(二)登陆自己的邮箱(或武汉大学BBS),利用Wireshark捕获数据包,对捕获到的数据包进行分析,看是否可以得到用户名和密码
4.4.4熟悉样本分析环境极其用法
(一)vmware的基本使用方式:
(二)恶意软件分析注意事项
(三)使用分析环境实际分析样本灰鸽子远控
(四)填写样本分析报告。
连接密码的设定使得灰鸽子服务端程序只能被配置它的黑客控制,避免了黑客之间的竞争。
服务端对客户端连接方式有多种,使得处于各种网络环境的用户都可能中毒,包括局域网用户(通过代理上网)、公网用户和ADSL拨号用户等。
只用一个端口来传输所有通讯数据,支持可以控制Internet连接共享、HTTP透明代理上网的电脑!
软件智能读取系统设定的代理服务器信息,无需用户设置。
可以设置服务端开放Socks5代理服务器功能和HTTP代理服务功能,支持Windows9x/ME/2000/Xp/2003。
便于黑客进行跳板攻击。
除了具有语音监听、语音发送,还有远程视频监控功能,只要远程计算机有摄像头,且正常打开没有被占用即可远程捕获的图片。
木马执行后释放的文件
4.5实验体会和拓展思考