20165107 网络对抗技术 Exp4 恶意代码分析

4.1 基础问题回答

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

我所了解的有这些：修改了哪些注册表、创建了哪些进程、占用了哪些端口修改、查看了哪些文件、连接了哪些网络。

我所知道的监控方法有：可以定时让主机执行netstat然后分析，发现网络连接异常、可以利用Sysmon，编写配置文件，记录与自己关心的事件有关的系统日志。

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

通过本次实验，我对自己的电脑进行监控，试图从中找出潜在的恶意代码，利用各种工具发现了计算机内部存在的漏洞，所实践的内容丰富收获颇丰，问题是有时会分辨不出哪些是疑似恶意代码，日后还要加强这方面学习。

使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

恶意软件分析
分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

读取、添加、删除了哪些注册表项

读取、添加、删除了哪些文件

使用schtasks指令监控系统
使用schtasks /create /TN netstat5107 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstat5107.txt"命令创建计划任务netstat5107

双击这个任务，点击操作-编辑，将其中的程序或脚本改为我们创建的netstat5107.bat批处理文件，参数可选项为空，点击确定。（注意看这里：一定要勾选使用最高权限运行，否则可能导致文件不能自主更新或者记录里出现权限问题）

还可在条件中设置其他属性，在电源这里默认操作为只有在计算机使用交流电源时才启动此任务，那么使用电池电源时就会停止任务，所以若保持默认注意电脑保持开机联网状态！

在计算机管理界面对该任务右键点击运行，可在netstat5330.bat目录下看到一个txt文本文件，打开就可看到每隔一分钟被输到这里的联网数据。

现在我们等待一段时间，让记录项目足够多了我们用excel来进行分析

分析：联网最多的是vmware，因为我开着虚拟机，其次是SearchUI 经网上查询是联想助手的搜索进程。SGTool搜狗输入法的加速启动程序有两个，svchost微软操作系统的系统文件，LenovoPcManagerService是联想电脑管家各一次，尚未发现可疑程序或进程。

Sysmon是微软Sysinternals套件中的一个工具。可以监控几乎所有的重要操作，参考

使用轻量级工具Sysmon监视你的系统，开始我们的使用。

基本操作

确定要监控的目标：在这里我选择进程创建、进程创建时间、网络连接、远程线程创建
写配置文件
- 相关事件过滤器选项在这可看到，进程创建ProcessCreate我用到了Image、SourceIp、SourcePort，进程创建时间FileCreateTime我用到了Image，网络连接NetworkConnect我用了Image、SourceIp、SourcePort，远程线程创建CreateRemoteThread我用了TargetImage、SourceImage
- 开始写与自己想要监控的事件相对应的配置文件，命名为20165107Sysmon.txt，内容如下：（配置文件是xml文件，为了简单编辑就直接命令为.txt，每次用写字本打开。

启动sysmon

下载老师给的安装包并解压：SysinternalsSuite201608
右键点击左下角Windows标志，打开Windows PowerShell(管理员)进入管理员命令行，先cd进入工具目录，在安装sysmon：.\Sysmon.exe -i C:\20165107Sysmon.txt（因为按老师的指令报错我将指令改为如上才成功执行）
弹出窗口点击Agree，安装成功

分析实验二生成的后门程序20165107_backdoor.exe，按步骤执行到回连