EXP4恶意代码分析 20154306 刘宇轩

一、实验过程

1、计划任务监控

在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下:
date /t >> c:\netstatlog.txt(记录数据)
time /t >> c:\netstatlog.txt(记录时间)
netstat -bn >> c:\netstatlog.txt(记录连接)

用schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "c:\netstatlog.bat"指令创建一个任务,记录每隔一分钟计算机的联网情况。打开txt文本可以发现你系统中所有联网程序的连接情况。


 

现在看一下神奇的一分钟一次的检查,时间截图


 

2、sysmon工具监控

配置文件,使用老师提供的配置文件模板,简单修改。
把驱动器、ie(虽然都没用,但是跟后面的后们工具连接似乎有关联,后门程序通过ie进行连接?)、360se、排除在外。
把443、80(这两个端口是https和http的连接,基本就是所有的网络连接端口)、svhost(这是一个奇怪的进程,我专门百度,他说是微软宣称的系统程序,很重要不能删,很多进程基本都在经过这个?也是木马等伪装的一个途径)、winlogon(程序的登入登出)、powershell(没看懂这是干什么的,大概感觉是shellcode有关?)设置在内。

 

 

将sysmon拖到cmd,-i表示安装,后面加地址(创立的文本)

 

在"运行"窗口输入eventvwr命令(我是直接输的,这个命令在哪个目录输都可以的),打开应用程序和服务日志,根据Microsoft->Windows->Sysmon->Operational路径找到记录文件。

 




 

看了上面的图,感觉很有意思。后门软件lyx.exe运行之后,竟然有explore.exe在其中,而我百度了一下,发现这个是图形界面的软件,也就是你的桌面等可视化界面的形成软件。而很多病毒也会伪装成这个。但是感觉我的后门没那么厉害吧?为什么会跟explore勾结?有些费解。

3.systracer分析

首先下载,安装很简单虽然是英文版,之后捕获快照。
点击take snapshot来快照,建立4个快照,分别为:
snapshot#1 后门程序启动前,系统正常状态
snapshot#2 启动后门回连Linux
snapshot#3 Linux控制windows查询目录
snapshot#4 Linux控制windows在桌面创建一个路径

对比前,我们先看下他的规则

先对比下1,2两种情况:
我们看到了后门软件,打开端口中能看到后门程序回连的IP和端口号

 


 



对比3,4情况:


4、联网情况分析

再打开后门程序的时候运行wireshark,可以发现他们之间的连接。

5、PEiD分析

PEiD是一个常用的的查壳工具,可以分析后门程序是否加了壳,用上州实验的时候的UPX壳生成的lyx_jk.exe。(忘记截图了此处)

6、Process Monitor分析

打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序lyx.exe,再刷新一下Process Monitor的界面,可以指定查找到lyx.exe。

 

用进程树也很容易找到运行的后门ly.exe

7、Process Explorer分析

打开Process Explorer,运行后门程序lyx.exe,在Process栏可以找到lyx.exe

 

双击后门程序lyx.exe那一行,点击不同的页标签可以查看不同的信息:
TCP/IP页签有程序的连接方式、回连IP、端口等信息。

 

 

 
 
posted @ 2018-04-13 14:24  20154306  阅读(126)  评论(0编辑  收藏