20144303石宇森《网络对抗技术》恶意代码分析

实验问题回答

一、实验后回答问题

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

首先，可以使用的监控方法有wireshark捕获数据包、sysmon监视系统活动记录、使用计划任务每隔一定时间获取一下每个进程联网的状态。

可以监控注册表的变化，文件的变化，哪些进程在连接网络，进程的行为，哪些端口被打开或是关闭了等等

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

1、可以在http://www.virscan.org/这一类的分析网站上对程序进行分析

2、可以使用PEiD、PE Explorer分析恶意软件

3、除了静态分析，还可以使用systracer或者是wireshark对恶意程序进行动态分析

二、实验总结与体会

这次实验完成后，掌握了一些基本的分析可疑程序或是代码的方法，可以通过静态分析分析其程序内容、是否加壳等，也可以通过动态分析分析它连接网络的情况、对注册表的修改情况等等。同时，也了解了如何对自己的系统进行监控并对其进行分析。

在完成之前的实验之后，感觉病毒软件在我们电脑里面有点像无敌的存在，具有很强大的功能还很难发现它们。明白了如何分析后，感觉还是“邪不胜正”啊！发现了可疑的程序或者代码后，通过一系列的分析组合拳，一般的恶意程序怕是招架不住。

相信在这样不断的实践攻击与防护中，能不断加深自己对网络攻防知识的理解，对课程产生浓厚的兴趣，让学习变得轻松快乐些。

三、实践过程记录

恶意代码静态分析

（1）通过www.virscan.org检测

对生成的恶意程序在网站上进行了分析检测，显示有21个杀软查出了病毒

在行为分析中，对其进行进一步分析。发现它使用了UPolyX v0.5加壳，会对注册表进行删除修改，会创建事件对象等等。

（2）用PE explorer检测

打开我们的恶意程序，并查看import

在导入表中，msvcrt.dll是标准的微软C运行库文件，它不是一个系统dll文件。kernel32.dll属于内核级文件，制着系统的内存管理、数据的输入输出操作和中断处理。advapi32.dll包含了注册表操作以及事件日志。wsock32.dll和ws2_32.dll用来支持Internet连接。

看来这个程序不仅连接到了网络，还可能对注册表进行了操作或是对系统内存进行了操作。

（3）PEiD 检测

nothing found？？！！！！！据说是版本的问题

恶意代码动态分析

（1）使用Systracer进行分析

首先用Systracer软件拍出4个快照，1345分别对应没有下载恶意程序时、安装了恶意程序、使用后门回连、在msfconsole下攻击目标机（获取其屏幕截图）

接下来，通过对比这几个快照下注册表、连接情况分析恶意代码。首先，对比快照1、3

这个图中显示出，安装了后门程序之后，com+ system application服务开启。用来管理基于COM+ 组件的配置和跟踪。如果服务停止，大多数基于COM+ 组件将不能正常工作。如果本服务被禁用，任何明确依赖它的服务都将不能启动。

这个图显示出安装了后门程序之后，新增了一些TCP连接，以及这些连接的IP地址、端口信息等等（虚拟机的IP为192.168.232.128）

对于1、4和1、5的对比如下图所示

系统运行监控

（1）建立一个计划任务，分析系统记录

先新建一个bat文件，在编辑中输入如下信息：

date /t >> c:\20144303\netstatlog.txt
time /t >> c:\20144303\netstatlog.txt
netstat -bn >> c:\20144303\netstatlog.txt

然后在任务计划程序中新建一个任务，并添加触发器和操作，让系统每5分钟自动捕获一下监控的信息。

分析捕获的信息发现，360se和360tray经常占用系统连接网络。360se是360浏览器的主程序，360tray是360安全卫士的主程序。（好像被360软件控制住了）另外还有一个OfficeClickToRun.exe，在网上看了看，它好像是个用来更新系统软件的东西，100%的审查文件被标记为的安全。

（刚开始建立好计划任务后一直无法正常触发，后来重新启动电脑后就好了.....也不知道为什么，很奇怪）