20154329《网络对抗技术》恶意代码分析

Exp4 恶意代码分析

实践目标

1.监控自己系统的运行状态，看有没有可疑的程序在运行。
2.分析一个恶意软件，分析Exp2或Exp3中生成后门软件。

实验过程

任务一 系统运行监控

1.使用 netstat 定时监控

在C盘根目录下建立一个netstatlog.bat文件（先把后缀设为txt，保存好内容后记得把后缀改为bat），内容如下：
date /t >> c:\netstatlog.txt（记录数据）
time /t >> c:\netstatlog.txt（记录时间）
netstat -bn >> c:\netstatlog.txt（记录连接）
用schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat"指令创建一个任务，记录每隔五分钟计算机的联网情况。

打开计划任务，找到我们刚刚创建的

在学习这门课之前，从来没打开过这个。

打开了新世界的大门......
打开txt文本可以发现你系统中所有联网程序的连接情况。
上一条指令中用到解释如下：

• TN：Task Name，本例中是20154329netstat
• SC: SChedule type,本例中是MINUTE,以分钟来计时
• MO: MOdifier
• TR: Task Run，要运行的指令是 netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口
  回连后，发现已于虚拟机建立连接：
  
  导入到Excel中进行数据分析
  

1.201543291是我启动的后门程序

2.360tray一看就是360的，经百度后知道这是360的托盘程序，然后我get到了这个

3.ChsIME是简体中文输入法

4.NeteaseMusic，确认过眼神，是我的网易云没错

5.SearchUI竟然是Cortana小娜 hhhh

6.Svchost......也是友军

没有检测太长时间，所以没有意外发现。

2.使用 sysmon 工具监控

• 首先配置sysmon，创建一个txt文件，输入配置信息，可根据个人需求增添删改。
  

• 管理员模式运行cmd，用cd指令转到sysmon目录，输入指令 sysmon.exe -i 4329.xml（如果配置文件与sysmon.exe不在同一目录，需要输入配置文件的目录），跳出安装窗口后同意完成安装。

在这里有特别想提醒的一点是，一定不能把exe直接放在C盘根目录下，这样会导致各种安装失败，一定要放在一个文件夹里（/(ㄒoㄒ)/~~）

• 输入指令 sysmon.exe -c 4329.xml 进行更新
  

• 启动sysmon之后可以在 右键我的电脑——管理——事件查看器——应用程序和服务日志——Microsoft——Windows——Sysmon——Operational 查看日志文件。
  
  1.进程创建
  
  2.网络连接
  
  3.创建时间
  
  4.进程终止
  

• 现在执行后门程序，kali上进行回连后观察事件查看器。
  
  （可是我为什么看不到IP？(→_→)）

2恶意软件分析

（1）静态分析

使用VirSCAN.org网站对4329veil.exe进行分析

（2）动态分析

1>使用systracer工具分析恶意软件

抓了以下四种状态
snapshot#1系统自然状态
snapshot#2kali开启msf
snapshot#3启动后门程序回连
snapshot#4使用screenshot截屏

• 比较第一个和第二个
  
  可见开启VMware

• 比较第二个和第三个
  
  启动后门程序，在Opened Ports中可以明确看到IP和端口（这里我设置为学号+200，即4529）
  

• 对比第三个和第四个
  
  截屏之后发生变化

2>TCP回连，用wireshark抓包分析

在后门程序回连时，在主机的命令行中用netstat -n命令查看TCP连接的情况，可以发现其中有进行回连的后门程序

• 回连时建立tcp连接
  
• 在后门程序回连时，打开wireshark，进行捕包分析，查看详细的协议分析发现，后门程序建立了三次握手并回连时进行了基于IP和端口的连接
  

3>使用PEID分析

分析之前实验中的加壳可执行后门文件

问题回答

1.如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

答：

• 可以通过设置定时计划任务，使用 netstat 指令将主机中的网络连接活动迹象都记录下来，筛选后逐一查看；
• 可以使用sysmon工具，根据需求编写配置文件。将记录文件导入Excal进行数据分析，并查询不明活动。

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

答：①可以使用systracer工具，对比进程运行前后，系统中的变化情况，从而得知它的行为活动信息。
②可以使用process explorer工具，查看该进程的网络连接情况，以及线程、执行等信息。

实验心得与体会

这次实验并不难，需要的是细心和耐心，利用各种工具对各种情况下的数据进行分析。通过这次实验get到了用Excal分析数据的神奇操作，也不再是完全的小白了，一点点学会通过一些工具来检测并检查自己的电脑。这次实验有两点想在之后进行补充，一个是用计划任务监控系统时，我监控的时间太短，导致我的发现太少，查询可以IP这部没能涉及到；另一个是，分析恶意软件时，还有很多工具我没有用到。