20154309 【网络对抗技术】Exp4: 恶意代码分析

Exp4 恶意代码分析
一、实践目标
1.监控自己系统的运行状态，看有没有可疑的程序在运行。
2.分析一个恶意软件，分析Exp2或Exp3中生成后门软件。
二、实践步骤
1.系统运行监控
使用 netstat 定时监控
首先创建一个txt文件，用来将记录的联网结果按格式输出到netstatlog.txt文件中，内容为：
date /t >> d:\netstatlog.txt
time /t >> d:\netstatlog.txt
netstat -bn >> d:\netstatlog.txt

把它的后缀名改成bat。再移动到d盘。
开启命令提示符

以下是一些捕获到的内容。

打开我的netstatlog记事本，可以发现我在今日晚上的连接网络的情况。

过一段时间等收集到足够多的数据后，创建一个excel

在数据选项卡中选择导入数据，选中保存的netstatlog.txt文件，设置使用分隔符号 ，并勾选全部分隔符号。

单击数据透视表，选中协议那一列，创建到新的工作表中，把字段拉到行和值中，选为计数，就得到各进程的活动数了。

转化为图形，更为直观简洁

没有可疑的进程，电脑处于安全（因为有QQPCTRAY在工作）。
再看看外部网络连接

应该是浏览器浏览不同地址造成的。从图表可以看出使用最多的地址。这样可以看见有没有可疑的地址访问。
使用 sysmon 工具监控
首先配置sysmon，创建一个txt文件，输入配置信息，可根据个人需求增添删改。

管理员模式运行cmd，用cd指令转到sysmon目录，输入指令 sysmon.exe -i 20154323sys.txt（如果配置文件与sysmon.exe不在同一目录，需要输入配置文件的目录）。

启动sysmon之后可以在 右键我的电脑——管理——事件查看器——应用程序和服务日志——Microsoft——Windows——Sysmon——Operational 查看日志文件。

制作后门文件。用veil

运行，找到了我自己启动自己制作的后门文件

从它的特征我并不知道如何判定为后门文件，ParentImage那一栏写的是explorer.exe（不是iexplorer，很容易弄混。而是资源管理器！！）和sysmon本身一样， explorer是很多病毒喜欢伪装或感染的对象。
除了自己的后门文件外，没有发现其他的可疑进程。高手可以发现自己的电脑上的密码，有的学长学姐好像发现过自己的木马。作为信息安全保密工作的人士，不仅仅是工作上，自己私人电脑上也不应该有木马。严谨 ，严防泄密，这是职业素质。
2.恶意代码分析
使用virscan扫描病毒

可以看见行为分析，可以看到攻击方主机的部分IP及端口号，

使用SysTracer分析恶意软件
使用systracer工具建立4个快照，分别为：
snapshot#1 后门程序启动前，系统正常状态
snapshot#2 启动后门回连Linux
snapshot#3 Linux控制windows在其D盘目录下创建一个文件

对比1、3两种情况。

可以看到打开后门后修改了注册表的内容。很多地方的注册表都被修改了，有一部分应该是它修改的。注意选择的是“Only Differences”

然后再把后门程序关闭，拍一张快照。发现注册表还有变化，在这期间没有手动运行其他程序，应该是后台在修改注册表。有可能是为了擦出痕迹，把修改过的注册表改了回去。
如图：

使用PEiD分析恶意软件
使用PEiD软件可以查看恶意软件的壳的相关信息，以及其所使用的编译器版本。

使用Process Monitor分析恶意软件
启动后会抓到非常多的进程数据，可以点出工具——进程树，便利找到我自己的后门程序。

后门程序运行起来后确实与explorer.exe（资源管理器）有很大的关系

在进程树中找到后门进程右键转到事件，可以在主窗口中找到程序，能直接看到回连的IP地址和端口号然而这次IP地址没显示，显示为bogon，百度了下说是不该出现在路由表中的地址。

在进程信息中的模块里找到 advapi32.dll 百度说是包含函数与对象的安全性、注册表的操控以及与事件日志有关，还是很重要的一个dll文件，一个无关程序莫名与其挂钩，就很值得引起我们怀疑。
使用Process Explorer分析恶意软件
打开process explorer后，接着运行后门程序回连

双击点开进程，在TCP/IP选项卡中可以看到回连的Linux的IP地址和端口。

使用TCPView工具分析恶意软件
后门运行时直接打开 tcpview 工具，可以直接找到后门进程

可以直接看到后门程序连接的IP地址及端口号。
三、实验后问题回答
（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。
1.可以通过设置定时计划任务，使用 netstat 指令将主机中的网络连接活动迹象都记录下来，逐一筛选。
2.可以使用sysmon工具，有选择的编写配置文件，将主机中各个进程的活动记录下来，能更加省时省力。
（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。
1.可以使用systracer工具，对比进程运行前后，系统中的变化情况，从而得知它的行为活动信息。
2.可以使用process explorer工具，查看该进程的网络连接情况，以及线程、执行等信息。
四、实验心得与体会
这次实验做起来比较简单，分析起来比较难。在照快照的时候花费了很多的时间，因为对于病毒的机制不太熟悉，不知道它会修改那些项目，所以只好选中了所有的项目。这次实验我终于知道了如何查看自己的电脑是否中了后门，去查看状态。收获颇多。