20164317《网络对抗技术》Exp4 恶意代码分析

1.实践目标

1.是监控你自己系统的运行状态,看有没有可疑的程序在运行。

2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。

3.假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

2.实践过程记录

一、系统运行监控

(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么。如果想进一步分析的,可以有针对性的抓包。

第一步:使用schtasks的命令创建计划任务netstat20164317

键入:schtasks /create /TN 20164317netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt

TN是TaskName的缩写,我们创建的计划任务名是20164317netstat;

sc表示计时方式,我们以分钟计时填MINUTE;

TR=Task Run,要运行的指令是 netstat

-bn,b表示显示可执行文件名,n表示以数字来显示IP和端口;

c:\netstatlog.txt类似于Linux中的重定向,输出将存放在C盘下的netstatlog.txt文件中

创建成功结果如下:

此命令完成后,每1分钟就会监测哪些程序在使用网络,并把结果记录在netstatlog.txt文档里,为了显示日期和时间,我们通过bat批处理文件来实现

第二步:在C盘要目录下建一个文件c:\netstatlog.bat

直接在C盘下是没法创建文件的,所以为了解决这个问题我试了几种方法:

在命令行下输入指令type nul>netstatlog.bat,结果提示拒绝访问。

在前面加个sudo结果还是提示拒绝访问。

最终解决的方法是在桌面上创建一个netstatlog.txt文件,编辑文件内容如下:

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

保存后修改文件名为“netstatlog.bat”;

粘贴到C盘中,这是需要用管理员权限;

可以右键点击“编辑”用记事本查看bat文件内容。

第三步:编辑任务操作:

1.打开任务计划程序,可以看到我们新创建的这个任务:

双击这个任务,点击操作并编辑,将“程序或脚本”改为我们创建的netstatlog.bat批处理文件,确定即可

执行此脚本一定时间,就可以在netstatlog.txt文件中查看到本机在该时间段内的联网记录

 

 当记录的数据足够丰富时,停止任务,将所得数据在excel中进行分析

可以看到用得最多的是360浏览器,其它也没什么异常的

(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

  • sysmon是微软Sysinternals套件中的一个工具,使用sysmon工具前首先要配置文件。根据老师的要求,最少要记录Event 1,2,3三个事件。即进程创建、进程创建时间、网络连接。
  • 创建配置文件Sysmon20164317.xml
    文件内容如下:

<Sysmon schemaversion="9.01">

  <!-- Capture all hashes -->

  <HashAlgorithms>*</HashAlgorithms>

  <EventFiltering>

    <!-- Log all drivers except if the signature -->

    <!-- contains Microsoft or Windows -->

    <ProcessCreate onmatch="exclude">    

      <Image condition="end with">chrome.exe</Image>

      <Image condition="end with">firefox.exe</Image>

    </ProcessCreate>

 

    <ProcessCreate onmatch="include">

      <ParentImage condition="end with">cmd.exe</ParentImage>

    </ProcessCreate>

 

    <FileCreateTime onmatch="exclude" >

      <Image condition="end with">chrome.exe</Image>

      <Image condition="end with">firefox.exe</Image>

    </FileCreateTime>

   

    <NetworkConnect onmatch="exclude">

      <Image condition="end with">chrome.exe</Image>

      <Image condition="end with">firefox.exe</Image>

      <SourcePort condition="is">137</SourcePort>

      <SourceIp condition="is">127.0.0.1</SourceIp>

    </NetworkConnect>

 

    <NetworkConnect onmatch="include">    

      <DestinationPort condition="is">80</DestinationPort>     

      <DestinationPort condition="is">443</DestinationPort>   

    </NetworkConnect>

 

    <CreateRemoteThread onmatch="include">

      <TargetImage condition="end with">explorer.exe</TargetImage>

      <TargetImage condition="end with">svchost.exe</TargetImage>

      <TargetImage condition="end with">firefox.exe</TargetImage>

      <TargetImage condition="end with">winlogon.exe</TargetImage>

      <SourceImage condition="end with">powershell.exe</SourceImage>

    </CreateRemoteThread>

  </EventFiltering>

</Sysmon>

 

使用Sysmon.exe -i C:\Sysmon20164317.xml安装sysmon

win10下,左下角开始菜单右击->事件查看器->应用程序和服务日志->Microsoft->Windows->Sysmon->Operational。在这里,我们可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等等

打开这个事件,可以看到其属于“NetworkContect”。查看详细信息,可以看到这个后门映像文件的具体位置、源IP和端口、目的IP和端口等

2.2恶意软件分析

1.静态分析
文件扫描(VirusTotal、VirusScan工具等)
文件格式识别(peid、file、FileAnalyzer工具等)
字符串提取(Strings工具等)
反汇编(GDB、IDAPro、VC工具等)
反编译(REC、DCC、JAD工具等)
逻辑结构分析(Ollydbg、IDAPro工具等)
加壳脱壳(UPX、VMUnPacker工具等)

2.动态分析
快照比对(SysTracer、Filesnap、Regsnap工具等)
抓包分析(WireShark工具等)
行为监控(Filemon、Regmon、ProcessExplorer工具等)
沙盒(NormanSandbox、CWSandbox工具等)
动态跟踪调试(Ollydbg、IDAPro工具等)

(1)使用VirusTotal分析恶意软件

把生成的恶意代码放在VirusTotal进行分析,结果如图:

 

查看这个恶意代码的基本属性

 

 

我们可以看到文件的类型、大小、SHA-1、MD5摘要值等结果

算法库支持情况

 

(2)使用systracer分析

分别在装了后门不连接,进行回连,进行截屏操作,三个状态抓快照。

比较不回连和回连:

171717是我的后门,可以看到回连是多了很多东西,虽然不太能理解。

进行操作后:

可以看到变化不大。

3.基础问题回答

问题1:如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控?

答: 1.利用系统命令查看系统各项状态,并将查看结果保存为日志。使用计划任务为命令设置执行间隔,通过监控系统一段时间的运行状态来监控系统。

2.使用具有监控系统功能的可靠软件来实现系统监控。

问题2:

如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息?

答:1.使用systracer工具对确定的恶意软件进行行为分析。

2.使用wireshark网络嗅探工具对该软件的网络通信情况进行分析。

4.实验感想

本次实验的内容十分丰富,我们尝试学习和使用了数款用于检测恶意代码的指令或是软件,这些工具都能很好地辅助我们对主机进行监控,以发现恶意行为并进行及时处理。
通过学习了解到,恶意代码的分析方法主要分为静态分析方法和动态分析方法。这两种方法在本次实验中都有所涉及。静态分析方法是指在不执行二进制程序的条件下进行分析,如反汇编分析等,属于逆向工程分析方法。而动态分析方法是指在恶意代码执行的情况下,利用调试工具对恶意代码实施跟踪和观察,确定恶意代码的工作过程,以便作进一步分析。
虽然恶意代码的分析工具多种多样、日趋完善,但作为计算机用户的我们更不能掉以轻心,而应该时刻保持警惕。要时常对电脑的行为进行监控,不要只寄希望于杀毒软件,因为杀毒与免杀的博弈关系会使二者共同发展,并不是所有的恶意代码都会被杀毒软件拒之门外

posted @ 2019-04-07 18:34  LIAUER  阅读(83)  评论(0编辑  收藏