20145240《网络对抗》恶意代码分析

恶意代码

基础知识

  • 恶意代码又称恶意软件。这些软件也可称为广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)。是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。有时也称作流氓软件。

  • 恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。

  • 特征:

(1) 恶意的目的
(2) 本身是计算机程序
(3) 通过执行发生作用

静态分析

  • 本次实验分析的对象是lsj2.exe

特征库比对

  • 点击“文件行为分析”,可以发现该文件会有加壳、网络连接的行为,自行删除注册表键值的行为

PEID

  • PEiD是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,但是检测自己生成的52406.exe时却什么都没找到

  • 百度一下UPX发现,这就是一个压缩壳工具

动态分析

使用计划任务schtasks

  • 先在C盘目录下建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstat5240.txt文件中,netstatlog.bat内容为:

  • 打开Windows下命令提示符,输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务:

  • 在任务计划程序中,新建一个触发器

  • 新建一个操作,并设置参数:>> c:\netstat5240.txt

  • 并设置一个名称,给予最高权限

  • 回连后,发现记录了以下回连产生的记录

sysmon工具查看恶意代码回连前后情况

  • 在Sysmon.exe同目录下建立文件:20145240.txt,并输入老师指导书中给的XML

  • 管理员身份运行CMD,输入指令:Sysmon.exe -i test.xml,进行安装

  • 输入指令:Sysmon.exe -c test.xml,进行配置

  • 设置好上述,可以进入Applications and Services Logs/Microsoft/Windows/Sysmon/Operational查看日志,需等待加载,回连并查找52406.exe

TCPView查看恶意代码回连前后情况

  • 在xp下运行查看,如下图

wireshark抓包分析

  • 捕获tcp三次握手以及捕捉到了靶机kali向主机发送文件的数据包

  • 虚拟机IP地址 :192.168.31.128

使用PE Explorer分析恶意软件

  • 在虚拟机下通过PE explorer打开文件52406.exe,可以查看PE文件编译的一些基本信息,导入导出表等

SysTracer

  • 1.在正常情况下,我们在主机下快照保存为Snapshot #1;

  • 2.Kali生成相应的后门,将文件通过ncat传到主机下后快照保存为Snapshot #2;

  • 3.Kali开启msf监听,在主机下运行后门程序后快照保存为Snapshot #3;

  • 4.Kali对主机虚拟机进行截图后,在win7下快照保存为Snapshot #4;

  • 5.Kali对主机进行一些权限操作后,在win7下快照保存为Snapshot #5.

快照结果对比分析:

  • 1&2: 将文件传到主机后发现注册表发生了变化,发现可以桌面新增了文件

  • 2&3:Kali回连成功后注册表发生变化,进程信息发现我们有网络连接

  • 3&4:获取主机截屏后,注册表信息又发生变化

  • 4&5:在进行一些权限操作后,进程信息显示后门程序有联网诉求

实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

  • 可以对比注册表,进程,端口,服务还有文件等信息,对其进行监控。

  • 可以用到本次实验的工具来分析,如 wireshark捕包、TCPview查看系统的TCP连接信息、sysmon用来监视和记录系统活动、是否有获取权限等行为。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

  • Process Explorer工具,观察里面是否有这个未知程序在运行,并且查看dll等信息。
  • 使用wireshark捕包,重点查看与未知程序进行网络连接IP的包,分析包内的信息是否为敏感信息。

2.实验总结与体会

因为电脑内存小虚拟机左一个右一个,实在是很麻烦,但是本次实践时在SysTracer快照时头一次体会到了电脑内存小的好处, 快照了3个的时候出现了问题,只能重装,还好比较快基本上每个照一两分钟就结束了,很感动。一次用这么多工具,刚开始有点分不清每个的功能,也出现了很多问题,实践才是硬道理,还有待努力改进。

posted @ 2017-04-01 14:05  20145240刘士嘉  阅读(308)  评论(0编辑  收藏  举报