20145228《网络对抗技术》恶意代码分析

实验内容

·监控系统的运行状态，看有没有可疑的程序在运行

·分析一个恶意软件，分析工具尽量使用原生指令或sysinternals,systracer套件。

基础问题回答

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

•使用Process Explorer工具，监视进程执行情况

•利用 sysmon工具，查看相关日志文件

•在命令行用schtasks指令设置一个计划任务，每隔一段时间记录主机使用情况

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

•wireshark进行抓包

•使用virscan分析恶意软件

实验过程

使用schtasks指令监控系统运行

在C盘创建netstatlog.bat，内容为

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

然后再命令行输入 schtasks /create /TN netstat /sc MINUTE /MO 3 /TR "c:\netstatlog.bat"
每个三分钟记录一次主机联网信息

最后找到netstatlog.txt

通过百度查询，其中XLServicePlatform是迅雷有关服务程序

使用virscan分析恶意软件

·在virscan网站上查看上次实验所做的后门软件的文件行为分析：

文件信息能看到此文件的网络建立套接字以及删除了注册表等行为

使用wireshark分析恶意软件回连情况

此图就能开出三次握手等传输情况：

后面图可看出靶机被获取屏幕截图的信息：

使用Process Explorer分析恶意软件

可以看文件编译时间、链接器版本等信息

点击import：可以查看该文件依赖的dll库

·msvcrt.dll和KERNEL32.dll属于一般程序在win下都会调用的dll库

·advapi32.dll是一个高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关。advapi32.dll是一个高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关。

·WS2_32.dll，是用来创建套接字的dll库

使用systracer工具分析恶意软件

开始建立了4个快照，分别是植入到目标主机中后、恶意软件启动回连时、恶意软件执行ls命令以及恶意软件执行screenshot命令时的情况

然后对比一下，发现注册表变化：

应用程序变化：

这是回连时的连接过程

应用接口变化：

可以看出连接请求

PEiD分析恶意软件

查看恶意软件的壳的相关信息，以及其所使用的编译器版本

实验体会

了解了许多不同类型的恶意代码分析软件，以及各分析软件的分析优势，面对恶意程序时，灵活应用这些软件能帮助我们将恶意程序分析得很透彻。知己知彼才能消灭恶意程序。