20164301 Exp4 恶意代码分析

Exp4 恶意代码分析

实验目标

 1.是监控你自己系统的运行状态，看有没有可疑的程序在运行。

 2.是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。

 3.假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行

进一步分析，好确认其具体的行为与性质。

---

 回答问题

  1.如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

    监控的操作：监控恶意代码读取、添加、删除了哪些注册表项，文件，连接了哪些外部IP，传输了什么数据。

    方法：通过schtasks指令设置计划任务或使用sysmon通过事件查看器进行监控。

 

  2.如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

• 可以用systracer拍摄快照，前后比较注册项表，文件，查看连接了哪些外部IP。
• 可以用wireshark来抓包，通过查看数据包来分析该进程的操作。

---

 实验步骤

一、系统运行监控

1.使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

 先在C盘目录下建立一个netstatlog.txt文件，再另存为重命名为netstatlog.bat，内容为：

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

再输入命令schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "d:\netstatlog.bat"

即每一分钟在netstatlog.txt记录一次计算机联网情况

 

 在netstatlog中即可看到每分钟的计算机联网程序的情况

 用excel中的数据透视表更直观来表现，分析数据

 选择分隔符号

 全选分隔符号

 选择B列作为横轴

 去掉多余不用选项，生成数据透视表

 1.根据表中发现360se.exe最高，因为做实验时一直开着360浏览器，360SE.exe 是360，当启动浏览器是它就会出现在任务管理器中，关闭任务管理器后会自动退出。

360Tray.exe是360安全卫士实时监控程序。

2.wspcenter.exe是WPS热点程序，wps.exe第二高，之后用sysmon分析，查找了文件来源，发现不是病毒。

3.Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。

2.安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

 首先安装sysmon工具，先下载从老师给的文件库里下载压缩包，在开始安装之前

  先要配置文件，我直接复制实验指导上的的配置文件内容。

 开始安装sysmon

 以管理员身份打开cmd，输入以下指令，安装完成。

 打开计算机管理，在事件查看器中可以看到sysmon记录的内容

 

 接着我打开kali进行回连，控制win，并进行简单操作

 shellcode_upxed.exe是在exp3中生成的加壳后门软件，这次也是启动它进行回连。

 

 在启动后门时，360杀软扫描到该后门，准备清除病毒，后来添加了可信任文件。

 回连成功后在linux中进行了如下操作

 

 发现sysmon中记录了notepad.exe程序的运行，监控到了可疑行为

 

 后来发现很多wps.exe的监控记录

 

 根据路径找到wps.exe，发现是文档word，不是病毒

百度了发现Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。

 

 

二、.恶意软件分析

分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时。

该后门软件（3）读取、添加、删除了哪些注册表项

（4）读取、添加、删除了哪些文件

（5）连接了哪些外部IP，传输了什么数据（抓包分析）

 

（一）使用systracer工具分析恶意软件

 下载压缩包，安装systracer工具

 

建立第一个快照，即未启动恶意软件，未回连时的快照

 

 建立第二个快照，即打开控制台，回连之后的快照

查看 读取、添加、删除了哪些注册表项 （蓝色字体表示该文件与之前相比做出了修改）

 

HKEY_CLASSES_ROOT包含了所有应用程序运行时必需的信息

HKEY_CURRENT_CONFIG允许软件和设备驱动程序员很方便的更新注册表，而不涉及到多个配置文件信息。

HKEY_CURRENT_USER管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息，包括用户登录用户名和暂存的密码

HKEY_LOCAL_MACHINE保存了注册表里的所有与这台计算机有关的配置信息

HKEY_USERS仅包含了缺省用户设置和登陆用户的信息。

例如local settings中的software，muicache等注册表项被修改

 有些修改无法查看，如下

 直接view difference list查看回连前后不同注册表项

 

 在控制台中进行如下操作，再通过快照对比查看读取、添加、删除了哪些文件

 

 发现666.TXT文件被改动

 再单看第二个快照，发现连接了外部IP , remote address 192.168.132.130

通过恶意软件打开的句柄可以发现它的操作

 回连前后进程对比

 

 恶意软件回连后，通过快照前后对比发现了shellcode_upxed.exe，可以查看到其所建立的TCP连接以及其详细的端口地址信息。

 （二）使用wireshark分析恶意软件回连情况

 打开wireshark进行抓包，恶意软件再进行回连进行操作。

 回连的本地ip地址192.168.132.1，meterpreter中也有显示

 输入ip.addr == 192.168.132.1进行过滤，查看抓到的数据包

  首三行即TCP的三次握手

 带有PSH,ACK的包传送的是执行相关操作指令时所传输的数据包，包含相关操作内容

.

 

---

 实验总结与体会

这次实验让我了解了系统运行监控和恶意软件分析的工具运用和分析方法，实验过程中发现可疑

对象后通过百度搜索或按原路径查看文件的方法，确定了可疑对象并非恶意软件。软件工具的使

用很简单，但分析和理解工具所表示的监控内容有难度。