20155207 《网络对抗》exp4 恶意代码分析学习总结

20155207 《网络对抗》恶意代码分析学习总结

1.是监控你自己系统的运行状态，看有没有可疑的程序在运行。

2.是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。

3.假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

（1）使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

参考：schtask与sysmon应用指导

实际日志的分析还需要发挥下自己的创造力，结合以前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理，这就得大家会什么用什么了。

分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

（3）读取、添加、删除了哪些注册表项

（4）读取、添加、删除了哪些文件

（5）连接了哪些外部IP，传输了什么数据（抓包分析）

对比最后两次快照时，有了意外收获，最初是发现端口有变化，可是觉得奇怪，此时并没有重新创建网络连接，而且我的木马也没有用到80端口，怎么可能80端口有变化
p10
后来发现是百度云在我没有启动它的时候自己在后台干一些小勾当，偷偷联网，鉴于百度云有自动备份的功能，我猜测他有可能在偷偷上传我电脑里新增的数据，好可怕，我并没有让他帮我备份啊。。。再也不敢再电脑里放不可告人的小秘密了。。。

捕获靶机与攻击机之间的通讯
使用wireshark进行抓包后可以看到，其先进行了TCP的三次握手，之后再进行数据的传输，如图所示，带有PSH,ACK的包传送的就是执行相关操作指令时所传输的数据包：
发现回连kali的一瞬间，靶机和攻击机之间建立了好多通信，分析其中一个数据包、
源IP是靶机IP，目的IP和Kali的IP并不一致，这是因为虚拟机进行网络通讯要通过NAT方式，要经过一个地址池随机分配一个用于网络连接的IP，这里就是这个IP
目的端口就是我们预先设计好的443端口
但是发现靶机用于网络连接的端口一直在变，似乎是不同的服务在用不同的端口？这里不是很清楚

创建任务，并新建触发器
在C盘目录下建立一个netstatlog.bat文件，用来将记录的联网结果格式化输出到netstatlog.txt文件中，netstatlog.bat内容为：
```
  date /t >> c:\netstatlog.txt
  time /t >> c:\netstatlog.txt
  netstat -bn >> c:\netstatlog.txt
```
然后打开Windows下命令提示符，输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务

回连成功后，新增后门程序进程
运行后门程序，界面上就会出现它的基本信息。
查看并分析具体信息
和远程攻击机建立连接
还可以用Process Explorer查看创建进程的程序信息和进程相关信息
其调用的ntdll库，ntdll.dll是重要的Windows NT内核级文件。描述了windows本地NTAPI的接口。当Windows启动时，ntdll.dll就驻留在内存中特定的写保护区域，使别的程序无法占用这个内存区域。