Exp4 恶意代码分析

一、实验内容

1.1系统运行监控(2分)

(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

参考:schtask与sysmon应用指导

实际日志的分析还需要发挥下自己的创造力,结合以前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理,这就得大家会什么用什么了。

 1.2恶意软件分析(1.5分)

分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件

(3)读取、添加、删除了哪些注册表项

(4)读取、添加、删除了哪些文件

(5)连接了哪些外部IP,传输了什么数据(抓包分析)

二、实验目标

 2.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。

 2.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。

 2.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

三、实验内容

(一)、系统运行监控

  1.1使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。

  打开windows命令窗口并输入代码 schtasks /create /TN netstat5127 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstat20175127.txt" 创建一个计划任务

  

  创建一个txt文件内容如下:

date /t >> c:\netstat20175127.txt
time /t >> c:\netstat20175127.txt
netstat -bn >> c:\netstat20175127.txt

  改为bat后缀,复制到c盘下

  在任务计划程序中找到刚刚新建的计划任务,将操作的文件选为刚刚创建的bat文件并去掉参数,再等待改计划任务执行一段时间后抓取的数据会存放在c盘txt文件中

  

  将数据导入到excel表格中做统计如下图

  

  

  1.2安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

  在这里下载工具schtask与sysmon应用指导

  创建一个Sysmon20175127.xml配置文件保存到C盘,内容如下:(第一行的版本号根据自己的版本修改)

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

 

  以管理员的权限打开windows命令窗口,进入到下载的sysmon工具文件夹目录,目录里有Sysmon.exe程序

  运行指令 sysmon.exe -i C:\sysmon20175127.xml 开始安装Sysmon

  

  查看我们记录的事件:控制面板→系统和安全→管理工具→事件查看器→应用程序和服务日志→Microsoft→Windows→Sysmon→Operational

  打开kali,windows运行实验二的后门程序,并成功回连kali,在事件查看器中我们可以发现该后门程序