20145304 Exp4 恶意代码分析

20145304 Exp4 恶意代码分析

实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

  • 监控连网记录,查看有没有可疑的信息,可使用Windows计划任务或schtasks来监控系统
  • 监控驱动加载、线程注入等,可使用Sysmon工具,在事件查看器查看。
  • 捕获数据包,分析其内容,看是否有不正常的连接,可开启wireshark。
  • 注册表,运行程序等,可使用systracer拍摄快照,进行对比。
  • 查看开放端口,是否有不需要开放的端口被开启。
    (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
  • 可用PEView来查看该程序是否加壳。
  • PEView逆向查看该程序,可能会找到关于网络连接和编译的线索。
  • 使用systracer拍摄快照,分析程序运行前后的变化。

实验总结与体会

电脑中正在运行的东西,不仅仅只有我们看到的,还可能有一些我们感觉不到的恶意代码在运行,之前的几次实验我们学习的是如何制作恶意代码,这次的恶意代码分析,让我们能依据之前自己做的恶意代码的功能,去分析一些值得关注的一些内容,也为以后可能的分析提供了思路。通过之前的免杀,杀毒软件有时也是很不可靠的,还得靠自己来监控判断,掌握一项技能很重要。

实践过程记录

恶意代码静态分析

将逆序后的shellcode代码放到恶意代码的检测网站上检测。

分析结果显示,39款软件有5款认为其不安全,从检测报告可以推测出该程序可能为一个shellcode的木马。

查看文件行为分析可看到该程序未加壳,还可看到回连的IP与端口信息。

PEiD查看该代码是否加壳

可以看出其编译环境为VC

PEView

使用PEView逆向查看后门程序,猜想可能会有关于IP和端口的信息,但 没有找到,数据处大都是乱码,在调试部分,发现了本机上编译该代码的地址。

系统运行监控

使用schtasks分析网络连接情况

  • 创建计划任务。

  • 为方便观察,使用批处理,在C盘下建一个文件netstatlog.bat,并在计划任务中修改操作的添加参数为c:\netstatlog.bat

  • 将netstatlog.txt文件另存为.vbs文件,用Excel打开,进行筛选,查看结果。在5个小时里共有273条记录,删除重复项后只剩19条,除去无用的信息,观察剩下的,无可疑的地方。

使用Sysmon监控

  • 创建配置文件
<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>

    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

  • 安装sysmon

  • 配置

  • 在事件查看器里查看、分析时发现了使用sogou截图

  • 创建配置文件

  • 不知道360在干嘛

  • audiodg.exe是Windows的音频操作进程。

恶意软件分析

使用systracer

  • 使用systracer分别建立了没有恶意软件时,装入恶意软件时,启动回连,执行系统命令,开启键盘捕获时的快照。

  • 快照1与2对比,发现文件处多了装入的恶意代码

  • 快照2与3对比,应用在运行

  • 快照3与4对比,应用中运行了CMD

  • 快照4与5对比,注册表发生了较大变化

使用wireshark在回连时捕包

  • 通过捕获到的数据包可以看出是本机主动连接虚拟机,并建立了TCP连接。
posted @ 2017-04-02 23:24  20145304刘钦令  阅读(330)  评论(0编辑  收藏  举报