# 2017-2018-2 20155319『网络对抗技术』Exp4：恶意代码分析

2017-2018-2 20155319『网络对抗技术』Exp4：恶意代码分析

实验目标与基础问题

++1.实践目标++

监控你自己系统的运行状态，看有没有可疑的程序在运行。
分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

++2.基础问题回答++

问：如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。
1.使用windows自带的schtasks指令设置批处理任务，每隔一段时间进行监控什么应用程序联网。2.使用sysmon工具。
问：如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。
用wireshark抓包或者systracer分析恶意软件。

实践过程记录

一、使用schtasks指令监控系统

1.使用schtasks /create /TN netstat19 /sc MINUTE /MO 20 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令创建计划任务netstat19，如下图所示

TN是TaskName的缩写，我们创建的计划任务名是netstat19;
sc表示计时方式，我们以分钟计时填MINUTE；
TR=Task Run，要运行的指令是 netstat
-bn,b表示显示可执行文件名，n表示以数字来显示IP和端口;
c:\netstatlog.txt类似于Linux中的重定向，输出将存放在C盘下的netstatlog.txt文件中（自动生成）。

2.在C盘中创建一个netstat5319.bat脚本文件（先创建txt文本文件，使用记事本写入后修改成.bat文件，提供管理员权限移动到C盘）指令如下：

date /t >> c:\netstat.txt
time /t >> c:\netsta.txt
netstat -bn >> c:\netstat.txt

3.打开任务计划程序，可以查看新创建的这个任务：

4.双击这个任务，按下图操作，注意勾选最高权限运行将“程序或脚本”改为我们创建的netstat5319.bat批处理文件，确定即可。

5.在c盘中查看生成的txt文件，参考学姐的博客20144306《网络对抗》MAL_恶意代码分析导入到excel中分析。

二、使用sysmon工具监控系统

sysmon是微软Sysinternals套件中的一个工具，使用sysmon工具前首先要配置文件。

第一步： 创建配置文件Sysmon20155319.txt，写入自己要记录的项，进程创建、进程创建时间、网络连接等。

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

第二步：启动sysmon。

1.下载老师码云的SysinternalsSuite201608压缩包，解压。

2.在命令提示符（管理员）中进入到该目录下。

3.安装sysmon：执行命令sysmon.exe -i C:\5319Sysmon.txt。

4.安装成功截图如下：

第三步： 在事件查看器里查看日志

右键进入计算机管理，找到事件查看器。点击“事件查看器”右侧小箭头，选择日志的位置：应用程序和服务日志/Microsoft/Windows/Sysmon/Operational。利用Sysmon具体分析日志的例子我选择了自己实验二中生成的后门r5319.exe进行分析。
回连
conhost.exe是命令行程序的宿主进程。简单的说他是微软出于安全考虑，在windows 7和Windows server 2008中引进的新的控制台应用程序处理机制。这个好像和后门没什么关系。
输入shell获取权限主机调用cmd。