20145203盖泽双《网络对抗技术》实践四:恶意代码分析

20145203盖泽双《网络对抗技术》实践四:恶意代码分析

1.实践目标

(1)监控系统的运行状态,观察是否有可疑的程序在运行。
(2)对可疑文件进行静态分析以及动态分析。本例中分析实践三生成后门程序。

2.问题思考

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
①最简单的操作就是使用本机上自带的计划任务,它可以记录电脑上有哪些程序在联网,连接的外部IP是哪里。找到可疑的文件还可以针对性的进行分析。
②使用sysinternals里的sysmon工具,这个功能非常强大,只要你配置好了,可以对主机干的很多事情都非常地详细记录下来。
③还可以使用捕包工具wireshark,它可以捕到我们自己的主机与外部主机之间的各种各样的交流通话。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
①systracer软件:通过快照之间的对比对恶意代码的行为进行动态分析。
②wireshark软件:可以观察可疑文件与控制端之间的通话。
③virscan:它对恶意软件的判断程度比较可信,还可以检测出可疑文件对我们的主机进行了哪些操作。
④Dependency Walker:.查看可以程序的导入和导出函数,动态剖析可疑文件的的模块依赖性。分析该可疑文件的功能与作用。
⑤PEiD(PE Identifier):是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳。
⑥PEview:PE文件分析器,可以打开pe文件,分析pe文件的各个字段,分析病毒入门的工具。

3.实验总结与体会

本来做了实践二、实践三,觉得病毒太可怕了,可以窃取我的隐私控制我的电脑,而且很难防范。但是通过今天的实践,突然发现对待病毒也不是一点办法都没有的。当我们觉得电脑可能中了病毒之后,可以对自己的电脑进行监控,找到可疑的文件。对其进行分析,清除,甚至还可以揪出侵犯我们隐私权的罪魁祸首。

4.实践过程记录

(1)对主机的监控

1、使用计划任务,每隔5分钟记录自己的电脑有哪些程序在联网。运行一段时间对结果进行分析。
①使用命令行来建立计划任务。

②编写批处理文件。

③使用计划任务程序窗口界面建立新的计划任务。

④建立新的触发器,修改操作。

⑤运行计划任务,成功进行监控。监控记录被自动保存在c:/netstat5203.txt中。
⑥可以从被保存的记录中找到后门程序的联网记录。此时,如果我们觉得这个程序没有联网的功能,或者对这个程序不熟悉,就可以从我们的电脑中找到这个程序,运用其他的软件对其代码等进行分析以确定它是否是被植入的病毒。

⑦当然我们也可以将找到的文件上传到下面这两个网站中直接进行扫描分析,扫描结果可供参考。若报毒的软件过多,则是后门程序的几率就非常大了。
国外的:https://www.virustotal.com/
国内的:http://www.virscan.org/

2、安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
①在Sysmon.exe下建立名为5203Sysmoncfg的txt文件,并输入老师指导书中给的XML代码。

②以管理员的身份运行cmd,安装Sysmon插件,并进行配置。

③配置成功后,打开事件查看器就可以随时查看Sysmon中的日志了。

④对日志中关于后门程序的内容进行分析。可以发现后门程序伪装成主机的explorer.exe文件运行!

(2)恶意代码的行为分析

1、使用systracer软件,通过快照之间的对比对恶意代码的行为进行动态分析。
(1)初始状态与被注入程序状态相比:
①文件夹中无缘无故多出了一个可执行文件,怀疑可能是被注入的病毒,下面我们看看这个可以文件执行了哪些操作。

(2)被注入程序状态与后门程序回连状态相比:
①观察到可疑文件自行在主机上开始悄悄运行。

②可疑文件运行时修改了很多的注册表信息,调运了很多dll文件。

③可疑文件穿过防火墙与其他网络的主机进行了连接。

(3)获取主机音频之后没找出其明显的变化
2、使用wireshark捕包分析可疑文件。
①发现可疑文件连接外部ip多次,并进行多次文件传输。

3、看到这里我们基本上已经确定这是一个后门程序,接下来我们可以利用其他软件对它进行分析,看看是否可以找到它是出于何人之手!
①利用Dependency Walker查看可以程序的导入和导出函数,分析该可疑文件的功能与作用。

advapi32.dll是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。既然该程序调用了这个函数很有可能对我们的注册表图谋不轨,对注册表图谋不轨的程序不是好程序!

②利用PEview可疑文件的各个代码字段。

没有分析出什么有用的内容,证明编写这个程序的人还不算太傻,信息隐藏的比较好。

③利用PEiD查壳,找到它的编译程序。我们还可以对它进行脱壳,揭开它的真面目。这里我就不揭,毕竟我生成的恶意代码,它的真面目我知道(✿◡‿◡)。

最后:祝刘老师清明节快乐!发完博客我回家啦!回来继续奋斗(ง •_•)ง!

posted @ 2017-04-02 11:07  20145203盖泽双  阅读(238)  评论(0编辑  收藏  举报