2018-2019-2 20155334『网络对抗技术』Exp4：恶意代码分析

一、原理与实践说明

是监控你自己系统的运行状态，看有没有可疑的程序在运行。
是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

二.实践过程记录

1.使用schtasks指令监控系统

使用schtasks /create /TN netstat5334 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令创建计划任务netstat5334，如下图所示：
在C盘中创建一个netstat5334.bat脚本文件

\\netstat5334.bat
date /t >> c:\netstat5334.txt
time /t >> c:\netstat5334.txt
netstat -bn >> c:\netstat5334.txt

打开任务计划程序，查看新创建的任务
双击这个任务，点击操作并编辑，将“程序或脚本”改为我们创建的netstat5303.bat批处理文件，确定。

将记录信息导入excel进行分析

由上图可知使用最多的是chrome.exe原因是在做后续的实验时下载了大量的程序。

2.使用sysmon工具监控系统

System Monitor(sysmon)是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上，并保持常驻性。sysmon用来监视和记录系统活动，并记录到windows事件日志，可以提供有关进程创建，网络链接和文件创建时间更改的详细信息。之后再结合WindowsEvent Collection或SIEM进行分析，可以识别网络上的异常入侵或运行的恶意软件。

特点：用完整的命令行记录下子进程和父进程的创建行为。使用sha1（默认），MD5，SHA256或IMPHASH记录进程镜像文件的hash值。可以同时使用多个hash，包括进程创建过程中的进程GUID。每个事件中包含session的GUID。
1. 记录驱动程序或者加载的DLL镜像的签名及其hash
2. 记录磁盘和卷的原始数据的读取请求
3. 记录网络连接，包括每个连接的源进程，IP地址，端口号，主机名和端口名（可选）
4. 如果更改注册表则自动重新加载配置
5. 具有规则过滤，以便动态包括或排除某些事件
6. 在加载进程的初期生成事件，能记录在复杂的内核模式运行的恶意软件

一键安装命令（需要以管理员身份运行cmd）sysmon -accepteula -i -n

创建配置文件Sysmon20165334.xml

<Sysmon schemaversion="4.00">      
<!-- Capture all hashes -->      
    <HashAlgorithms>*</HashAlgorithms>      
<EventFiltering>        
<!-- Log all drivers except if the signature -->       
<!-- contains Microsoft or Windows -->       
<DriverLoad onmatch="exclude">          
    <Signature condition="contains">microsoft</Signature>         
    <Signature condition="contains">windows</Signature>        
</DriverLoad>       
<!-- Do not log process termination -->        
<ProcessTerminate onmatch="include" />       
<!-- Log network connection if the destination port equal 443 -->        
<!-- or 80, and process isn't InternetExplorer -->        
<NetworkConnect onmatch="include">          
    <DestinationPort>443</DestinationPort>          
    <DestinationPort>80</DestinationPort>
    <DestinationPort>5334</DestinationPort>        
</NetworkConnect>        
<NetworkConnect onmatch="exclude">          
    <Image condition="end with">iexplore.exe</Image>       
</NetworkConnect>
<CreateRemoteThread onmatch="include">
    <TargetImage condition="end with">explorer.exe</TargetImage>
    <TargetImage condition="end with">svchost.exe</TargetImage>
    <TargetImage condition="end with">winlogon.exe</TargetImage>
    <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>     
</EventFiltering>    
</Sysmon>

使用Sysmon.exe -c Sysmon20165334.xml，将sysmon按照修改好的配置文件进行更新。

打开【开始】菜单，搜索【事件查看器】并打开，在左侧控制台树按照【事件查看器】->【应用程序和服务日志】->【Microsoft】->【Windows】依次展开，找到【Sysmon】下的【Operational】并双击打开：

打开teshell.exe后门，Kali攻击机用meterpreter回连，可以看到连接的详细信息，包括ip、端口、pid等：

3.使用VirusTotal分析恶意软件

把生成的恶意代码放在VirusTotal进行分析，基本情况如下：
可以看出它的SHA-1、MD5摘要值、文件类型、文件大小，以及TRiD文件类型识别结果。（注：TRiD通过读取文件头，根据特征码进行文件类型匹配。）
还可以看到加壳情况：

4.使用Process Monitor分析恶意软件

Process Monitor 是一款由 Sysinternals 公司开发的包含强大的监视和过滤功能的高级 Windows 监视工具，可实时显示文件系统、注册表、进程/线程的活动。

打开软件，可以看出其对各个进程的详细记录：

5.使用Process Explorer分析恶意软件

Process Explorer是由Sysinternals开发的Windows系统和应用程序监视工具，目前已并入微软旗下。不仅结合了Filemon（文件监视器）和Regmon（注册表监视器）两个工具的功能，还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框（增加了进程存活时间图表）、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位日志文件的能力、监视映像（DLL和内核模式驱动程序）加载、系统引导时记录所有操作等。
靶机运行木马，回连攻击机时，我们可以看到Process Explorer对其进行的记录：

6.使用PEiD分析恶意软件

PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470 种PE 文档的加壳类型和签名
检测以前加壳的后门

7.使用systracer分析恶意软件

给快照取名，使用默认设置，点击【确定】开始创建第1个快照Snapshot20165334 #1
Kali攻击机启动Meterpreter进行攻击，同时win7打开上次实验生成的后门程序5314.exe进行回连，并创建第2个快照Snapshot20155314 #2
Kali攻击机输入ls命令后，win7创建第3个快照Snapshot20165334 #3
Kali攻击机输入screenshot命令抓屏，win7创建第4个快照Snapshot20165334 #4：
启动回连时，注册表发生了变化
新增的文件