20175110 王礼博 exp4恶意代码分析

目录

• 1.基础知识

• 2.系统运行监控

• 3.恶意软件分析

• 4.基础问题回答

• 5.实践总结与体会

1. 基础知识

1.1 恶意代码的概念与分类

• 定义：指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。

• 特征：

  • 恶意的目的

  • 本身是计算机程序

  • 通过执行发生作用

• 类型：

  • 计算机病毒

  • 蠕虫

  • 恶意移动代码

  • 后门

  • 特洛伊木马

  • 僵尸程序

  • 内核套件

  • 融合型恶意代码

1.2 恶意代码的分析方法

• 静态分析

  • 恶意代码扫描

  • 文件格式识别

  • 字符串提取

  • 二进制结构分析

  • 反汇编

  • 反编译

  • 代码结构与逻辑分析

  • 加壳识别和代码脱壳

• 动态分析

  • 快照对比

  • 动态行为监控

  • 网络监控

  • 沙盒

  • 动态跟踪调试

返回目录

2. 系统运行监控

2.1 Windows计划任务schtasks

• 输入以下命令schtasks /create /TN netstat /sc MINUTE /MO 1 /TR “d:\netstatlog.bat”，创建任务，下面我们来写任务需要调用的bat文件。

  • TN: Task Name
  • SC: SChedule type,
  • MO: MOdifier
  • TR: Task Run

• 接下来先新建一个txt文档，然后输入以下指令,强行转化为.bat类型的文件，放入d盘

  date /t >> d:\netstatlog.txt

  time /t >> d:\netstatlog.txt

  netstat -bn >> d:\netstatlog.txt

• 打开任务计划程序，找到我们的任务

• 双击任务，进行提权和脚本确认。

• 在D盘下建立netstatlog.txt文档，打开文档并运行任务，发现信息已收集。

• 使用Excel进行导入，并用数据透视图对文本信息进行处理。

• 分析

我发现，wps，迅雷和QQ浏览器占用的资源是最多的，这是符合实际情况的。由于我用的是苹果手机，所以电脑上安装了苹果服务组件，但是我记得是不自动开启这些服务的，然而苹果服务组件占用了一部分资源，我猜测可能是由于客服服务需求和软件更新需求，所以苹果才在后台偷偷开启组件，其余软件的占用量属于正常范围，没发现什么异常。

2.2 sysmon

• 首先去官网下载sysmon

• 创建配置文件sysmon.xml，文件中写入以下指令

<Sysmon schemaversion="4.12">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>

• 将xml与安装包放在同一目录下，以管理员身份打开命令行，使用指令Sysmon.exe -i sysmon.xml安装sysmon。输入命令之后会弹出下面这个框，点击Agree进行安装。

• 安装成功。

• 从图中可以看出版本号为4.23，所以我们更新并修改一下配置文件。

<Sysmon schemaversion="4.23">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>    
<NetworkConnect onmatch="exclude">
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include"> 
<DestinationPort condition="is">5110</DestinationPort>     
<DestinationPort condition="is">80</DestinationPort>      
<DestinationPort condition="is">443</DestinationPort>    
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>

• 配置文件修改完要更新，指令为：sysmon.exe -c sysmon.xml

• 打开事件查看器，在应用程序和服务日志下，查看Microsoft->Windows->Sysmon->Operational,运行实验二生成的后门文件，在kali虚拟机中获取Windows的命令行,观察日志

• 回连产生的日志

返回目录

3. 恶意软件分析

3.1 文件扫描（VirusTotal）：检出率58/72

3.2 文件格式识别（peid工具）

• 对未加壳的后门文件进行扫描：PEiD的主要功能是查壳，所以这个后门文件并没有被它查出异常

• 通过peid工具也可以看到动态链接库，但是并不能发现什么异常。

3.3 反编译、反汇编（PE Explorer工具）

• 查看文件头信息,说实话，看不出来什么东西

• 查看调用的ddl文件，如果对ddl文件有比较好的了解，这里应该可以发现一些端倪。

• 查看版本信息，这里面很多信息上面已经显示过了。

3.4 快照比对（SysTracer工具）

• 利用快照工具抓取三种状态，1：原状态 2：回连状态 3：kali上操作win命令行状态

• 首先我们将1、2状态进行比对，通过比较差异，发现后门程序在运行，可以看到调用了哪些文件，包括用于进程间通讯的临时文件。

• 进一步分析，发现.lck文件删除和新建，.lck类似于临时文件的缓冲区文件。同时，也发现新的连接建立。

• 通过比较2、3状态，我发现在kali上进行的操作，windows上反映出来，主要是操作程序的开启。

3.5 抓包分析（WireShark工具）

• 抓一下回连的包，观察情况，可以很清楚看都源目的端口和传输方式等等。

*输入mkdir test之后，再捕获到的数据包

返回目录

4. 基础问题回答
（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

我觉得Windows计划任务schtasks和sysmon都是很不错的工具，通过收集数据，例如端口使用情况、数据的传输情况。文件的调用情况都等等，使用一些统计软件，观察系统下行为的频繁程度、软甲是否自动开启。开启的时间段如何等等，就可以大致有关于是否存在恶意代码的判断。

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

首先我会使用VirusTotal进行检测，大致判断问题的严重程度。
然后用Wireshark进行抓包，可以看看是否传输了数据
其次用sysmon可以查看该程序或进程创建了哪些日志文件，可疑点在哪
最后用SysTracer工具可以查看该程序或进程对注册表、文件还有应用程序进行了哪些修改

返回目录

5. 实验总结与体会

本次实验我觉得还挺有趣的，各种工具的使用，包括各种分析。我觉得自己分析的能力还是不足，可能是因为对工具还不够熟练，找不典型的问题所在，可能是我的知识储备还不够，对一些问题的分析还不够深入。个人感觉要把这次实验做精做好，还是要尝试大量后门程序，看看各有什么不同，需要知行合一。

返回目录