iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 8
0
自我挑戰組

初學資安,30篇課程筆記系列 第 8

Day8_Malware

  • 惡意程式的觀察項目 ( P, N, S, F )

    • Process Observation
      • Task Manager
        • 程序刪減過程
        • CPU耗用量
        • 命令列變化
    • Network Behavior
      • 對外的網路通訊
        • C&C
      • 對內的網路攻擊
      • 網路搜尋過程
    • System History
      • Windows Register
      • Service系統服務項目的異動
      • Job Schedule的增加
      • 防火牆與防毒軟體的異動
    • File Resource Access
      • 惡意程式建立的檔案項目
      • 存取的檔案名稱
      • 刪除的檔案資料
  • 理想架構的惡意程式 ( A, B, C, D )

    • Auto-Startup Process
      • Trigger
      • 每次開機時,讓作業系統能載入惡意程式“Base Process”
    • Base Process
      • 進行各種系統API操作
      • 維護A, C, D程序
    • Communication Process
      • 不一定存在
      • 若使用TCP/IP功能,多是連接C&C中繼站,進行
        1. 程式更新
        2. 資料外送
        3. 接收指令
    • Destroy Process
      • 不一定存在
      • Self-Destoryed ( 抹除跡證 )

上一篇
Day7_Linux, Malware
下一篇
Day9_安裝 Wireshark, GeoLite2
系列文
初學資安,30篇課程筆記31

尚未有邦友留言

立即登入留言