Exp4 恶意代码分析

　　 实验内容

一、基础问题

1、如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

• 使用windows自带的schtasks，设置一个计划任务，每隔一定的时间对主机的联网记录等进行记录。

• 使用sysmon工具，通过修改配置文件，记录相关的日志文件。

• 使用Process Explorer工具，监视进程执行情况。

2、如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

• 使用systracer工具对恶意软件的信息进行具体分析

• 使用wireshark进行抓包从而获取恶意程序与主机的通信。

二、实验步骤

实验点一：系统运行监控

（1）使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

、使用schtasks指令监控系统

• 通过schtasks /create /TN netstat4320 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstat4320.txt"命令，创建计划任务netstat4320，如下图所示：

在C盘中创建一个netstat4320.bat脚本文件（可先创建txt文本文件，使用记事本写入后通过修改文件名来修改文件格式）

• 在其中写入以下内容：

date /t >> c:\netstat5233.txt
time /t >> c:\netstat5233.txt
netstat -bn >> c:\netstat5233.txt

在"开始"中，打开任务计划程序，可以看到创建的任务netstat4320。

双击打开这个任务，点击"操作"，再进行编辑。

将"程序或脚本"内容改为刚才创建好的netstat4320.bat批处理文件。点击"确定"。

 

 

 接下来 我等了大概一个下午的时间，收集计算机传入传出的数据，进行分析计算

• 记录此时已足够进行分析，将这些数据导入Excel中。

• PS:导入方法

  • 数据->自文本->导入文本文件->选择netstat4320.txt
    

    "文本导入向导"处选择"分隔符号"

    

    将"分隔符号"中所有种类选中

    

    "列数据格式"选择常规，点击"完成"之后便可导入。具体参考学姐的博客。如何在Excel中使用数据透视表，请参考该百度经验

    

    最后得到所有收集到数据的表格，整理得到

    

    更换成柱状图

    

    除此之外，还可以将所有的外网地址合并汇总，便于统计分析：

    

    详细显示每一个外网连接时，本机的IP及端口

    

    2、使用sysmon工具监控系统

    • 在微软官方文档中，可以查看所有操作。

    

    首先下载sysinternals。下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon

    一键安装命令：sysmon -accepteula -i -n（失败多次，注意加入地址）

    

     

    

    • 创建配置文件Sysmon20164320.xml。我的配置文件如下：

    <Sysmon schemaversion="3.10">
      <!-- Capture all hashes -->
      <HashAlgorithms>*</HashAlgorithms>
      <EventFiltering>
        <!-- Log all drivers except if the signature -->
        <!-- contains Microsoft or Windows -->
        <DriverLoad onmatch="exclude">
          <Signature condition="contains">microsoft</Signature>
          <Signature condition="contains">windows</Signature>
        </DriverLoad>
        
        <NetworkConnect onmatch="exclude">
          <Image condition="end with">chrome.exe</Image>
          <Image condition="end with">iexplorer.exe</Image>
          <Image condition="end with">firefox.exe</Image>
          <SourcePort condition="is">137</SourcePort>
          <SourceIp condition="is">127.0.0.1</SourceIp>
          <DestinationPort condition="is">80</DestinationPort>      
          <DestinationPort condition="is">443</DestinationPort>   
        </NetworkConnect>
    
        <CreateRemoteThread onmatch="include">
          <TargetImage condition="end with">explorer.exe</TargetImage>
          <TargetImage condition="end with">firefox.exe</TargetImage>
          <TargetImage condition="end with">svchost.exe</TargetImage>
          <TargetImage condition="end with">winlogon.exe</TargetImage>
          <SourceImage condition="end with">powershell.exe</SourceImage>
        </CreateRemoteThread>
        
        <ProcessCreate onmatch="include">
          <Image condition="end with">chrome.exe</Image>
          <Image condition="end with">iexplorer.exe</Image>
          <Image condition="end with">firefox.exe</Image>
        </ProcessCreate>
        
        <FileCreateTime onmatch="exclude" >
          <Image condition="end with">firefox.exe</Image>   
        </FileCreateTime>
        
        <FileCreateTime onmatch="include" >
          <TargetFilename condition="end with">.tmp</TargetFilename>       
          <TargetFilename condition="end with">.exe</TargetFilename>  
        </FileCreateTime>
        
      </EventFiltering>
    </Sysmon>

    • 用sysmon -c Sysmon20164320.xml命令指定配置文件。此时报错版本不匹配，只需将改成自己对应的版本即可

              重新输入sysmon -c Sysmon20164320.xml命令，完成配置。如下图所示：

    

    • sysmon -u命令为停止服务。

    • 打开【开始】菜单，搜索【事件查看器】并打开，在左侧控制台树按照【事件查看器】->【应用程序和服务日志】->【Microsoft】->【Windows】依次展开，找到【Sysmon】下的【Operational】并双击打开：

    

    打开之前Exp3植入的20164320backdoor.exe后门，Kali攻击机用meterpreter回连，可以看到连接的详细信息，包括ip、端口、pid等:

    

    

     通过比较发现kali中会连显示的server username即上图的 user  NT AUTHORITY\system32\

    current pid 即上图的processid   4984

    实验点二：恶意软件分析

    分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

    (3)读取、添加、删除了哪些注册表项

    (4)读取、添加、删除了哪些文件

    (5)连接了哪些外部IP，传输了什么数据（抓包分析）

    3、使用VirusTotal分析恶意软件

    把生成的恶意代码20165233shellcode.upxed.exe放在VirusTotal进行分析，基本情况如下:

    

    点击Details可以查看基本属性以及加壳情况：

    

    可以看出它的SHA-1、MD5摘要值、文件类型、文件大小，以及TRiD文件类型识别结果。

    • 以及该恶意代码的算法库支持情况：

    

     

     

    4、使用Process Monitor分析恶意软件

    • 双击打开可执行文件，可以看到各个进程的详细信息，如下图所示：
    • 

     　　

    5、使用Process Explorer分析恶意软件

    • 双击打开可执行文件，win7虚拟机运行木马，回连kali时，我们可以看到Process Explorer对其进行的记录：

    

    6、使用PEiD分析恶意软件

    • 使用PEiD分析恶意软件

    • 因为计算机病毒这门课要求我们把程序下在了xp，所以索性就在xp中实现实验了

    • 使用PEID打开文件可看到其中的加壳信息：

    

    • 这个是后门程序，可以看到他查出我的加壳信息了

    • 接着试着把360放进去，发现加壳信息是微软？？

    

    然后随便放一个无害exe：

    

    • 显示啥也没有

    • 使用PE Explorer分析恶意软件

    • 放入我们的后门程序看看：

    

    查看其dll库：

    

     

    实验出现的问题：

    1.配置文件时疯狂报错

    

    

    

     

    解决办法：因为将SYSMON放到了E盘，将其剪切到C盘后在一步一步cd打开系文件就能解决了

    实验心得

     本次实验虽然难度还可以，但着实很麻烦，而且这个kali回连我在上次实验的时候成功率就很低，这次真是废了好大劲才弄好