20145228《网络对抗技术》恶意代码分析

实验内容

·监控系统的运行状态,看有没有可疑的程序在运行

·分析一个恶意软件,分析工具尽量使用原生指令或sysinternals,systracer套件。

基础问题回答

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

•使用Process Explorer工具,监视进程执行情况

•利用 sysmon工具,查看相关日志文件

•在命令行用schtasks指令设置一个计划任务,每隔一段时间记录主机使用情况

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

•wireshark进行抓包

•使用virscan分析恶意软件

实验过程

使用schtasks指令监控系统运行

在C盘创建netstatlog.bat,内容为

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

然后再命令行输入 schtasks /create /TN netstat /sc MINUTE /MO 3 /TR "c:\netstatlog.bat"
每个三分钟记录一次主机联网信息

最后找到netstatlog.txt

通过百度查询,其中XLServicePlatform是迅雷有关服务程序

使用virscan分析恶意软件

·在virscan网站上查看上次实验所做的后门软件的文件行为分析:

文件信息能看到此文件的网络建立套接字以及删除了注册表等行为

使用wireshark分析恶意软件回连情况

此图就能开出三次握手等传输情况:

后面图可看出靶机被获取屏幕截图的信息:

使用Process Explorer分析恶意软件

可以看文件编译时间、链接器版本等信息

点击import:可以查看该文件依赖的dll库

·msvcrt.dll和KERNEL32.dll属于一般程序在win下都会调用的dll库

·advapi32.dll是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。advapi32.dll是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。

·WS2_32.dll,是用来创建套接字的dll库

使用systracer工具分析恶意软件

开始建立了4个快照,分别是植入到目标主机中后、恶意软件启动回连时、恶意软件执行ls命令以及恶意软件执行screenshot命令时的情况

然后对比一下,发现注册表变化:

应用程序变化:

这是回连时的连接过程

应用接口变化:

可以看出连接请求

PEiD分析恶意软件

查看恶意软件的壳的相关信息,以及其所使用的编译器版本

实验体会

了解了许多不同类型的恶意代码分析软件,以及各分析软件的分析优势,面对恶意程序时,灵活应用这些软件能帮助我们将恶意程序分析得很透彻。知己知彼才能消灭恶意程序。

posted @ 2017-04-03 12:04  20145228江苒  阅读(424)  评论(0编辑  收藏  举报