20154323_胡冰源_Exp4

Posted on 2018-04-13 10:19  20154323_胡冰源  阅读(129)  评论(0编辑  收藏

Exp4 恶意代码分析

一、实践目标

1.监控自己系统的运行状态,看有没有可疑的程序在运行。

2.分析一个恶意软件,分析Exp2或Exp3中生成后门软件。

二、实践步骤

1.系统运行监控

使用 netstat 定时监控

首先创建一个txt文件,用来将记录的联网结果按格式输出到netstatlog.txt文件中,内容为:

date /t >> d:\netstatlog.txt

time /t >> d:\netstatlog.txt

netstat -bn >> d:\netstatlog.txt

 

 

 

 

把它的后缀名改成bat。再移动到d盘。

开启命令提示符

 

 

此时遇到问题:没有操作权限。原来是没有用管理员方式运行。

解决方式:Windows10中在Cortana中输入“命令提示符”进行搜索,右键,管理员方式运行。

输入指令 schtasks /create /TN 20154323 /sc MINUTE /MO 2 /TR "d:\20154323.bat(上面创建的文件) 创建间隔2分钟的计划任务。

 

 

或者在控制面板版—计划任务中创建一个触发器为”按预定计划“,重复间隔自己设定,操作中程序选中上面创建的文件的定时任务。但是我在做时遇到了如下问题:

 

 

思考了许久,问了问同学,发现在下面可以解决:

 

如图,使用最高权限运行,这个选项必须勾上。

 

 

打开我的netstatlog记事本,可以发现我在今日晚上的连接网络的情况。

 

 

过一段时间等收集到足够多的数据后,创建一个excel

 

 

在数据选项卡中选择导入数据,选中保存的netstatlog.txt文件,设置使用分隔符号 ,并勾选全部分隔符号。

 

单击数据透视表,选中协议那一列,创建到新的工作表中,把字段拉到行和值中,选为计数,就得到各进程的活动数了(把不需要统计的行勾掉。这里要看的是程序,而不是协议)。

 

 

转化为图形,更为直观简洁

 

 

没有可疑的进程,电脑处于安全(因为有QQPCTRAY在工作)。

再看看外部网络连接

 

 

 

应该是浏览器浏览不同地址造成的。从图表可以看出使用最多的地址。这样可以看见有没有可疑的地址访问。

 

使用 sysmon 工具监控

首先配置sysmon,创建一个txt文件,输入配置信息,可根据个人需求增添删改。

 

 

 

管理员模式运行cmd,用cd指令转到sysmon目录,输入指令 sysmon.exe -i 20154323sys.txt(如果配置文件与sysmon.exe不在同一目录,需要输入配置文件的目录)。

之前我已经做过一次,所以不需要再次安装。

 

 

启动sysmon之后可以在 右键我的电脑——管理——事件查看器——应用程序和服务日志——Microsoft——Windows——Sysmon——Operational 查看日志文件。

 

 

现在开始制作后门文件。用veil

 

 

 

运行,找到了我自己启动自己制作的后门文件

 

从它的特征我并不知道如何判定为后门文件,ParentImage那一栏写的是explorer.exe(不是iexplorer,很容易弄混。而是资源管理器!!)和sysmon本身一样, explorer是很多病毒喜欢伪装或感染的对象。

 

除了自己的后门文件外,没有发现其他的可疑进程。高手可以发现自己的电脑上的密码,有的学长学姐好像发现过自己的木马。作为信息安全保密工作的人士,不仅仅是工作上,自己私人电脑上也不应该有木马。严谨 ,严防泄密,这是职业素质。

2.恶意代码分析

使用virscan扫描病毒

 

 

 

有的同学可以看见行为分析,可以看到攻击方主机的部分IP及端口号,且看见了有删除注册表键和键值、检测自身是否被调试以及创建事件对象的行为。但是我的电脑试了很多次都做不出来,至今没有找到解决办法。

使用SysTracer分析恶意软件

使用systracer工具建立4个快照,分别为:

snapshot#1 后门程序启动前,系统正常状态

snapshot#2 启动后门回连Linux

snapshot#3 Linux控制windows在其D盘目录下创建一个文件

 

 

对比1、3两种情况。

 

 

 

可以看到打开后门后修改了注册表的内容。很多地方的注册表都被修改了,有一部分应该是它修改的。注意选择的是“Only Differences”

 

 

 

然后文件比较,发现出现了新增的文件:“hby4323.txt”

 

 

这是为什么呢?原来是我在Linux下在Windows上生成了txt文件:编辑效果如图

 

 

果然在我的后门的文件夹中有一个txt文件:

 

 

然后再把后门程序关闭,拍一张快照。发现注册表还有变化,在这期间没有手动运行其他程序,应该是后台在修改注册表。有可能是为了擦出痕迹,把修改过的注册表改了回去。

如图:

 

 

使用PEiD分析恶意软件

使用PEiD软件可以查看恶意软件的壳的相关信息,以及其所使用的编译器版本。

 

 

使用Process Monitor分析恶意软件

启动后会抓到非常多的进程数据,可以点出工具——进程树,便利找到我自己的后门程序。

 

 

后门程序运行起来后确实与explorer.exe(资源管理器)有很大的关系

 

 

在进程树中找到后门进程右键转到事件,可以在主窗口中找到程序,能直接看到回连的IP地址和端口号然而这次IP地址没显示,显示为bogon,百度了下说是不该出现在路由表中的地址。

 

 

 

 

在进程信息中的模块里找到 advapi32.dll 百度说是包含函数与对象的安全性、注册表的操控以及与事件日志有关,还是很重要的一个dll文件,一个无关程序莫名与其挂钩,就很值得引起我们怀疑。

使用Process Explorer分析恶意软件

 打开process explorer后,接着运行后门程序回连

 

 

双击点开进程,在TCP/IP选项卡中可以看到回连的Linux的IP地址和端口。

 

 

 

使用TCPView工具分析恶意软件

后门运行时直接打开 tcpview 工具,可以直接找到后门进程

 

 

可以直接看到后门程序连接的IP地址及端口号。

三、实验后问题回答

1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

1.可以通过设置定时计划任务,使用 netstat 指令将主机中的网络连接活动迹象都记录下来,逐一筛选。

2.可以使用sysmon工具,有选择的编写配置文件,将主机中各个进程的活动记录下来,能更加省时省力。

2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

1.可以使用systracer工具,对比进程运行前后,系统中的变化情况,从而得知它的行为活动信息。

2.可以使用process explorer工具,查看该进程的网络连接情况,以及线程、执行等信息。

四、实验心得与体会

          这次实验是我们做过的操作比较简单,但是分析最难的一次实验。我们通过各种软件进行监控自己的电脑。这是最具有意义的操作,以前都是进行攻击,现在是开始防御,监测我们的电脑是否处于危险,而不是去研究攻击别人的电脑。这次是“做好事”。我们采取的办法是先放火再灭火。