1.1 实验名称
恶意软件样本行为分析
1.2 实验目的
1) 熟悉 Process Moniter 的使用
2) 熟悉抓包工具 Wireshark 的使用
3) VMware 的熟悉和使用
4) 灰鸽子木马的行为分析
1.3 实验步骤及内容
第一阶段:熟悉 Process Moniter 的使用
利用 Process Moniter 监视 WinRAR 的解压缩过程。
利用 Process Moniter 分析 WinRAR 的临时文件存放在哪个文件夹中。
WinRAR 压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭
打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用 Process Moniter 分析上述两种方式的异同点。
第二阶段:熟悉抓包工具 Wireshark 的使用
熟悉 Wireshark 软件的使用,着重掌握 Wireshark 的过滤器使用。
使用 Wireshark 抓取登录珞珈山水 BBS 的数据包,并通过分析数据包获得用户名和 密码。
第三阶段:VMware 的熟悉和使用
着重掌握 VMware 的网络设置方式,主要有 NAT 连接、桥接和 Host-Only 模式。 配置自己的木马分析环境。
第四阶段:灰鸽子木马的行为分析
熟悉灰鸽子木马的使用,利用灰鸽子木马控制虚拟机。
利用 Process Moniter 监控感染灰鸽子木马的被控端的文件行为和注册表行为。 利用 Wireshark 监控灰鸽子木马与控制端的网络通信。
提出灰鸽子木马的清除方案。
第五阶段:思考与实践
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/18787.html