代码改变世界

【】Exp4 恶意代码分析

2018-04-13 00:29  杨云鹏  阅读(133)  评论(0编辑  收藏

一·实验过程

1系统运行监控

创建一个netstatlog.bat文件,可以直接使用指令生成,也可以创建一个.txt文件,然后将后缀修改成.bat,文件内容如下

date /t >> c:\netstatlog.txt        \\将数据记录在netstatlog.txt 中
time /t >> c:\netstatlog.txt        \\将时间记录在netstatlog.txt 中
netstat -bn >> c:\netstatlog.txt  \\将链接记录在netstatlog.txt 中

然后在计划任务中创建一个新的计划任务,触发器设置为5分钟触发一次,操作为打开上一步生成的批处理文件

然后运行该计划任务,每五分钟就会弹出一个命令提示符程序,这里使用了周4下午记录好的数据进行分析。

周四下午我有课,电脑空闲待机,后台联网程序依旧这么多······可以看到有谷歌浏览器,win10的后台应用,酷狗音乐,N卡驱动,搜狗,腾讯游戏和QQ,wps,尤其是wps,我中午出门时还特意用任务控制器强制关掉了他的进程,结果三千多个链接数中它就占了差不多三分之一,毒瘤程度令人发指。

 再看外部链接

连接次数最多的IP地址是127.0.0.1,但我记得这是个本地地址,为什么外部地址里链接次数最多的反倒是个本地地址呢?我百度了一下才豁然开朗。

链接次数第二的是中国移动,第三的是上海电信,第五则是海淀区的百度。

2.Sysmon

 下载好老师提供的软件后,编辑好配置文件,然后用指令进行更新。

安装完成后,打开本地服务可以看到sysmon已经在运行了

然后在Windows的事件查看器中找到sysmon,可以看到sysmon已经记录了很多连接信息了

随便打开一看就是wps···

然后使用上次实验的后台程序回连Kali,可以找到后门程序

然后在查找后门程序的过程里,有一个我很在意的就是有很多wps的事件记录,都是在链接互联网,111.13.100.91是中国移动的IP地址,因为我是用手机开热点进行的实验,不知道为什么WPS非要占用这么多资源,而且我并没有使用它···这软件真是太毒瘤了。

 

3.使用systracer分析

安装完systracer后,使用软件记录快照

1为后门开启前系统待机,2为后门程序启动回连后,3为输入ls指令执行,4为输入ipconfig指令

然后对比快照1和快照2