Exp4_恶意代码分析

一.基础问题

1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控?

  • 注册表,运行程序等,可使用systracer拍摄快照,进行对比。
  • 监控连网记录,查看有没有可疑的信息,可使用Windows计划任务或schtasks来监控系统
  • 使用一些软件比如sysmon、SysTracer v2.10等工具读取系统的注册表,进程表等信息来实现实时监测。

2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

  • Wireshark进行抓包分析,查看该程序联网时进行了哪些操作 收发了那些数据包
  • systracer工具分析某个程序执行前后,拍下snapshot快照分析计算机注册表、文件、端口的变化

二、实验内容

1、使用schtasks指令监控系统运行

  • 使用指令:
    schtasks /create /TN 20154327netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt

在C盘目录下建立一个netstatlog.bat文件,之后修改后缀名,使它成为一个批处理文件.dat,用来将记录的联网结果格式化输出到netstatlog.txt文件中,分别输入以下指令:

  • date /t >> c:\4332netstatlog.txt
  • time /t >> c:\4332netstatlog.txt
  • netstat -bn >> c:\4332netstatlog.txt

打开Windows下命令提示符,输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\4332netstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务:

此时你可以在D盘下看见4332netstatlog.txt文件。

  • 打开计划任务,运行20154332netstatlog:

  • 设置任务里的操作:

  • 检测完成:

  • 打开文件就可以查看两分钟记录计算机联网情况的任务,我们大概看看与什么在运行

进程监控到的有360安全卫士实时监控程序
、虚拟机、有道云笔记、微信、
浏览器等。

  • 列出所有端口

  • 显示所有端口的统计信息

2、使用sysmon工具监控系统运行

  • 在老师提供的网址中找到了Sysmon下载
    配置xml,安装:
    sysmon -accepteula –i -n

  • 配置成功后,我们在主机上查看sysmon是否在运行。(如图所示:在运行)

  • 用kali回连后门文件

  • 在计算机管理工具-事件查看器下可以查看日志信息,日志位置在 应用程序和服务日志/Microsoft/Windows/Sysmon/Operational下,查找后门文件20154332.exe

1、后门文件创建时间已更改

2、43332进程创建

3、进程终止

4、谷歌浏览器运行中

资料来源:就是本机ip:172.30.5.189

3、使用systracer工具分析恶意软件

首先在网页上或是在一些软件商城中都可下载
安装很简单,之后捕获快照

1、首先在没有任何操作下,先对电脑进行捕捉快照。

2、在再电脑上放置后门文件对电脑进行捕捉快照。

3、将kali和后门文件回连后进行捕捉快照。

再将1、2、3进行对比。
首先是1、2的对比图:

由上图可以清楚的看见1、2之间多了一个后门文件

接下来是2、3的对比图:
应用程序运行时必需的信息这一栏中本地设置多了输入面板、地址、链接

4、PEiD分析

PEiD是一个常用的的查壳工具,PEID下载网址,可以分析后门程序是否加了壳,jiake4332.exe

这是没加壳的文件

5、Process Monitor分析

  • 打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序4332shiy.exe,再刷新一下Process Monitor的界面,可以指定查找到4332shiy.exe。

  • 使用进程树找到刚刚运行的后门文件

6、Process Explorer分析

  • 打开Process Explorer,运行后门程序4332M.exe,在Process栏可以找到4332M.exe

  • 双击后门程序4332M.exe那一行,点击不同的页标签可以查看不同的信息:
    TCP/IP页签有程序的连接方式、回连IP、端口等信息。

总体状态的监控

实验心得

  • 这次的实验相当的繁琐,在装了一个又一个的软件后,在这次的实验中我们学习了很多监控电脑的软件,我对恶意软件的特征认识也有了很大的提升,以后我们可以利用这些工具对系统进行监控查看是否存在恶意代码。

  • 在这次的实验中我们上课介绍的软件和其他的软件功能上就有很大区别,每个软件都有不同的用处,不同的方法去监控我们的电脑

  • 1、使用schtasks指令监控系统运行
    安排命令和程序定期运行或在指定时间内监控系统。

  • 2、使用sysmon工具监控系统运行
    sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。

  • 3、使用systracer工具分析恶意软件
    屏幕快照,在做对比

  • 4、PEiD 分析:是否加壳

posted on 2018-04-12 17:39  4332renqing  阅读(76)  评论(0编辑  收藏

导航