电⼦数据取证技术应⽤--恶意代码取证.docVIP

恶意代码取证

【实验目的】

1)了解恶意代码取证分析的方法

【实验原理】

1)对恶意代码进行取证，实际就是对恶意代码进行分析，了解代码的行为意图，掌握其特征信息，为下一步的恶意代码检测、预防和清除提供依据

2)Autoruns：查看哪些程序被配置为在系统启动和用户登录时自动启动，该程序也可显示注册表和文件位置的完整列表，应用程序可在此配置自动启动设置

3)ProcessMonitor（Procmon.exe）：实时监视文件系统、注册表、进程、线程和DLL活动

4)TCPView：查看端口及线程

【实验环境】

WindowsServer2008（C:\Users\Administrator\Desktop\取证\恶意软件取证）

【实验步骤】

一、感染木马之前

1.1打开软件“Autoruns”查看当前系统原始启动项。如图1所示

图1

二、木马分析

2.1双击运行木马程序“Server.exe”，打开“Procmon.exe”软件查看当前系统进程，木马程序进程名称为“H.exe”（蓝色标记条目），PID为“3828”。如图2所示

图2

2.2选择菜单栏中的“过滤”-“过滤…”，在“ProcessMonitor过滤”对话框中添加匹配项(pid以当前为准)。如图3所示

图3

2.3点击确定后过滤器成功执行，仅显示木马程序的进程（字体太小看不清时可以选择菜单栏中的“