【】Exp4 恶意代码分析

一·实验过程

1系统运行监控

创建一个netstatlog.bat文件，可以直接使用指令生成，也可以创建一个.txt文件，然后将后缀修改成.bat，文件内容如下

date /t >> c:\netstatlog.txt        \\将数据记录在netstatlog.txt 中
time /t >> c:\netstatlog.txt        \\将时间记录在netstatlog.txt 中
netstat -bn >> c:\netstatlog.txt  \\将链接记录在netstatlog.txt 中

然后在计划任务中创建一个新的计划任务，触发器设置为5分钟触发一次，操作为打开上一步生成的批处理文件

然后运行该计划任务，每五分钟就会弹出一个命令提示符程序，这里使用了周4下午记录好的数据进行分析。

周四下午我有课，电脑空闲待机，后台联网程序依旧这么多······可以看到有谷歌浏览器，win10的后台应用，酷狗音乐，N卡驱动，搜狗，腾讯游戏和QQ，wps，尤其是wps，我中午出门时还特意用任务控制器强制关掉了他的进程，结果三千多个链接数中它就占了差不多三分之一，毒瘤程度令人发指。

 再看外部链接

连接次数最多的IP地址是127.0.0.1，但我记得这是个本地地址，为什么外部地址里链接次数最多的反倒是个本地地址呢？我百度了一下才豁然开朗。

链接次数第二的是中国移动，第三的是上海电信，第五则是海淀区的百度。

2.Sysmon

 下载好老师提供的软件后，编辑好配置文件，然后用指令进行更新。

安装完成后，打开本地服务可以看到sysmon已经在运行了

然后在Windows的事件查看器中找到sysmon，可以看到sysmon已经记录了很多连接信息了

随便打开一看就是wps···

然后使用上次实验的后台程序回连Kali，可以找到后门程序

然后在查找后门程序的过程里，有一个我很在意的就是有很多wps的事件记录，都是在链接互联网，111.13.100.91是中国移动的IP地址，因为我是用手机开热点进行的实验，不知道为什么WPS非要占用这么多资源，而且我并没有使用它···这软件真是太毒瘤了。

 

3.使用systracer分析

安装完systracer后，使用软件记录快照

1为后门开启前系统待机，2为后门程序启动回连后，3为输入ls指令执行，4为输入ipconfig指令

然后对比快照1和快照2