20154309 【网络对抗技术】Exp4: 恶意代码分析

Exp4 恶意代码分析
一、实践目标
1.监控自己系统的运行状态,看有没有可疑的程序在运行。
2.分析一个恶意软件,分析Exp2或Exp3中生成后门软件。
二、实践步骤
1.系统运行监控
使用 netstat 定时监控
首先创建一个txt文件,用来将记录的联网结果按格式输出到netstatlog.txt文件中,内容为:
date /t >> d:\netstatlog.txt
time /t >> d:\netstatlog.txt
netstat -bn >> d:\netstatlog.txt

把它的后缀名改成bat。再移动到d盘。
开启命令提示符

以下是一些捕获到的内容。

打开我的netstatlog记事本,可以发现我在今日晚上的连接网络的情况。

过一段时间等收集到足够多的数据后,创建一个excel

在数据选项卡中选择导入数据,选中保存的netstatlog.txt文件,设置使用分隔符号 ,并勾选全部分隔符号。

单击数据透视表,选中协议那一列,创建到新的工作表中,把字段拉到行和值中,选为计数,就得到各进程的活动数了。

转化为图形,更为直观简洁

没有可疑的进程,电脑处于安全(因为有QQPCTRAY在工作)。
再看看外部网络连接

应该是浏览器浏览不同地址造成的。从图表可以看出使用最多的地址。这样可以看见有没有可疑的地址访问。
使用 sysmon 工具监控
首先配置sysmon,创建一个txt文件,输入配置信息,可根据个人需求增添删改。


管理员模式运行cmd,用cd指令转到sysmon目录,输入指令 sysmon.exe -i 20154323sys.txt(如果配置文件与sysmon.exe不在同一目录,需要输入配置文件的目录)。


启动sysmon之后可以在 右键我的电脑——管理——事件查看器——应用程序和服务日志——Microsoft——Windows——Sysmon——Operational 查看日志文件。


制作后门文件。用veil

运行,找到了我自己启动自己制作的后门文件

从它的特征我并不知道如何判定为后门文件,ParentImage那一栏写的是explorer.exe(不是iexplorer,很容易弄混。而是资源管理器!!)和sysmon本身一样, explorer是很多病毒喜欢伪装或感染的对象。
除了自己的后门文件外,没有发现其他的可疑进程。高手可以发现自己的电脑上的密码,有的学长学姐好像发现过自己的木马。作为信息安全保密工作的人士,不仅仅是工作上,自己私人电脑上也不应该有木马。严谨 ,严防泄密,这是职业素质。
2.恶意代码分析
使用virscan扫描病毒

可以看见行为分析,可以看到攻击方主机的部分IP及端口号,

使用SysTracer分析恶意软件
使用systracer工具建立4个快照,分别为:
snapshot#1 后门程序启动前,系统正常状态
snapshot#2 启动后门回连Linux
snapshot#3 Linux控制windows在其D盘目录下创建一个文件

对比1、3两种情况。

可以看到打开后门后修改了注册表的内容。很多地方的注册表都被修改了,有一部分应该是它修改的。注意选择的是“Only Differences”


然后再把后门程序关闭,拍一张快照。发现注册表还有变化,在这期间没有手动运行其他程序,应该是后台在修改注册表。有可能是为了擦出痕迹,把修改过的注册表改了回去。
如图:

使用PEiD分析恶意软件
使用PEiD软件可以查看恶意软件的壳的相关信息,以及其所使用的编译器版本。

使用Process Monitor分析恶意软件
启动后会抓到非常多的进程数据,可以点出工具——进程树,便利找到我自己的后门程序。

后门程序运行起来后确实与explorer.exe(资源管理器)有很大的关系

在进程树中找到后门进程右键转到事件,可以在主窗口中找到程序,能直接看到回连的IP地址和端口号然而这次IP地址没显示,显示为bogon,百度了下说是不该出现在路由表中的地址。

在进程信息中的模块里找到 advapi32.dll 百度说是包含函数与对象的安全性、注册表的操控以及与事件日志有关,还是很重要的一个dll文件,一个无关程序莫名与其挂钩,就很值得引起我们怀疑。
使用Process Explorer分析恶意软件
打开process explorer后,接着运行后门程序回连

双击点开进程,在TCP/IP选项卡中可以看到回连的Linux的IP地址和端口。

使用TCPView工具分析恶意软件
后门运行时直接打开 tcpview 工具,可以直接找到后门进程

可以直接看到后门程序连接的IP地址及端口号。
三、实验后问题回答
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
1.可以通过设置定时计划任务,使用 netstat 指令将主机中的网络连接活动迹象都记录下来,逐一筛选。
2.可以使用sysmon工具,有选择的编写配置文件,将主机中各个进程的活动记录下来,能更加省时省力。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
1.可以使用systracer工具,对比进程运行前后,系统中的变化情况,从而得知它的行为活动信息。
2.可以使用process explorer工具,查看该进程的网络连接情况,以及线程、执行等信息。
四、实验心得与体会
这次实验做起来比较简单,分析起来比较难。在照快照的时候花费了很多的时间,因为对于病毒的机制不太熟悉,不知道它会修改那些项目,所以只好选中了所有的项目。这次实验我终于知道了如何查看自己的电脑是否中了后门,去查看状态。收获颇多。

posted on 2018-04-25 17:03  4309yanqing  阅读(230)  评论(0编辑  收藏

导航