20145228《网络对抗技术》恶意代码分析
实验内容
·监控系统的运行状态,看有没有可疑的程序在运行
·分析一个恶意软件,分析工具尽量使用原生指令或sysinternals,systracer套件。
基础问题回答
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
•使用Process Explorer工具,监视进程执行情况
•利用 sysmon工具,查看相关日志文件
•在命令行用schtasks指令设置一个计划任务,每隔一段时间记录主机使用情况
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
•wireshark进行抓包
•使用virscan分析恶意软件
实验过程
使用schtasks指令监控系统运行
在C盘创建netstatlog.bat,内容为
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
然后再命令行输入 schtasks /create /TN netstat /sc MINUTE /MO 3 /TR "c:\netstatlog.bat"
每个三分钟记录一次主机联网信息
最后找到netstatlog.txt
通过百度查询,其中XLServicePlatform是迅雷有关服务程序
使用virscan分析恶意软件
·在virscan网站上查看上次实验所做的后门软件的文件行为分析:
文件信息能看到此文件的网络建立套接字以及删除了注册表等行为
使用wireshark分析恶意软件回连情况
此图就能开出三次握手等传输情况:
后面图可看出靶机被获取屏幕截图的信息:
使用Process Explorer分析恶意软件
可以看文件编译时间、链接器版本等信息
点击import:可以查看该文件依赖的dll库
·msvcrt.dll和KERNEL32.dll属于一般程序在win下都会调用的dll库
·advapi32.dll是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。advapi32.dll是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。
·WS2_32.dll,是用来创建套接字的dll库
使用systracer工具分析恶意软件
开始建立了4个快照,分别是植入到目标主机中后、恶意软件启动回连时、恶意软件执行ls命令以及恶意软件执行screenshot命令时的情况
然后对比一下,发现注册表变化:
应用程序变化:
这是回连时的连接过程
应用接口变化:
可以看出连接请求
PEiD分析恶意软件
查看恶意软件的壳的相关信息,以及其所使用的编译器版本
实验体会
了解了许多不同类型的恶意代码分析软件,以及各分析软件的分析优势,面对恶意程序时,灵活应用这些软件能帮助我们将恶意程序分析得很透彻。知己知彼才能消灭恶意程序。