2019-2020 - 2 网络对抗技术 20175235 Exp4 恶意代码分析

2019-2020-2 网络对抗技术 Exp4 恶意代码分析

20175235泽仁拉措

目录

一、实验过程

• 1.系统运行监控

• 2.恶意软件分析

  • 动态分析

  • 静态分析

1.1结合windows计划任务与netstat命令

• 步骤

  • 使用命令schtasks /create /TN 20175235netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt" 创建计划任务20175235netstat

    

  • 在C盘中创建一个netstatlog.bat脚本文件（可先创建txt文本文件，使用记事本写入后通过修改文件名来修改文件格式）

    

    输入以下内容：

    date /t >> c:\netstatlog.txt
    time /t >> c:\netstatlog.txt
    netstat -bn >> c:\netstatlog.txt
    
    

  • 打开任务计划程序（在计算机管理中），可以看到我们新创建的这个任务

    

  • 双击这个任务，点击操作并编辑，将“程序或脚本”改为我们创建的netstatlog.bat批处理文件，确定即可

    

  • 执行此脚本一定时间，就可以在netstatlog.txt文件中查看到本机在该时间段内的联网记录

    

  • 等到自己觉得时间差不多了，就可以利用Excel来进行分析

    • 在Excel中打开数据->自文本->分隔符号，下一步中标记所有分隔符号。

      

      

      

    • 统计图如下：

      

    • 分析统计的数据：

      按排名：

      [360DayPop.exe]：360弹窗广告

      [wps.exe]：wps

      [360Tray.exe]：360监控程序

      [Explorer.EXE]：程序管理器

      [HarmonySettingService.exe]：疑似病毒

      [iumsvc.exe]：不清楚

      [Lenovo.HarmonySetting.exe]：服务

      [SoftMgrLite.exe]：360小助手

      [updateui.exe]：可执行文件

      [WeChat.exe]：微信

      [vmware-authd.exe]虚拟机相关进程

      [wpscenter.exe]：wps热点

  • 后台存在很多非我主动运行的软件进程，竟然广告软件还是最大进程，还有其他自启的进程，还有一个病毒，所以在日常使用中应该主动留意后台进程，保证后台的有序和可信不仅能够保证自己信息的安全，也能够
    保障系统的流畅运行。

1.2 使用sysmon监视系统

• 下载安装sysmon

  

  

  • 配置文件:

<Sysmon schemaversion="4.23">
 <!-- Capture all hashes -->
 <HashAlgorithms>*</HashAlgorithms>
 <EventFiltering>
   <!-- Log all drivers except if the signature -->
   <!-- contains Microsoft or Windows -->
   <DriverLoad onmatch="exclude">
     <Signature condition="contains">microsoft</Signature>
     <Signature condition="contains">windows</Signature>
   </DriverLoad>
   
   <NetworkConnect onmatch="exclude">
<Image condition="end with">iexplorer.exe</Image>
     <SourcePort condition="is">137</SourcePort>
     <SourceIp condition="is">127.0.0.1</SourceIp>
   </NetworkConnect>

   <NetworkConnect onmatch="include"> 
     <DestinationPort condition="is">5310</DestinationPort>     
     <DestinationPort condition="is">80</DestinationPort> 

<DestinationPort condition="is">443</DestinationPort>    
   </NetworkConnect>

   <CreateRemoteThread onmatch="include">
     <TargetImage condition="end with">explorer.exe</TargetImage>
     <TargetImage condition="end with">svchost.exe</TargetImage>
     <TargetImage condition="end with">winlogon.exe</TargetImage>
     <SourceImage condition="end with">powershell.exe</SourceImage>
   </CreateRemoteThread>
 </EventFiltering>
</Sysmon>

• 进入事件查看器里查看日志
  进入事件查看日志通过应用程序和服务日志/Microsoft/Windows/Sysmon/Operational找到日志具体位置
  
  

2.1恶意软件

• 2.1静态分析

  • 1.使用VirusTotal分析恶意软件

    实验三中一个加壳的后门程序放入virusTotal中分析
    可以看出它的SHA-1、MD5摘要值、文件类型、文件大小，TRiD文件类型、加壳情况、算法库支持

    

    

  • 2.使用PEID进行外壳检测：

    安装后将实验三的程序拖进去，可以看到其加壳的版本等

    

  • 3.反编译、反汇编（PE Explorer工具）

    PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器，能快速对32位可执行程序进行反编译，并修改其中资源。

    打开PE Exploer后打开后门程序zxy_20175227_backdoor.exe，显示出文件头信息：

    

    

• 2.2动态分析

  • 抓包工具运用（wireshark）
    Kali系统与Windows系统Ping通时的ICMP包
    

  • MSF反弹连接时的TCP包
    

  • dir查看磁盘中后门程序目录下的文件，日志没有更新
    

二、实验内容说明及基础问题回答

• 1、如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

  • 使用Windows计划任务schtasks：定期查看网络连接情况，包括IP和端口，并进行统计分析，确认IP所属和连接发起方详情。

  • 使用sysmon工具：配置好想要查看的选项，比如网络连接、注册表信息等，通过所生成的日志进行查看分析。

  • 使用PEiD、PE Exploer工具：查看一个程序是否加壳，并进行反汇编、反编译，查看并分析该程序是否有违规操作。

  • 使用Wireshark工具：捕获数据包，分析数据流情况。

• 2、如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

  • 使用Wireshark进行抓包分析，监视其与主机进行的通信过程。

  • 使用Process Explorer查看调用的程序库等等

  • 使用PEid查看的加壳情况

三、实验总结

这次实验的操作性很强，可以用于以后自己查恶意代码，是比较有难度的，需要安装的软件有些多。这次实验还是收获了很多。