20175323 Exp4 恶意代码分析

1. 实验后回答问题

如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

 答：用计划任务可以一直监控端口和进程，并且导入excel统计的话也比较方便查看进程的运行次数等，还有Sysmon、schtasks等工具可以对计算机监听，另外微软的Process Explorer也可以监控进程活动

如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

 答：sysmon（全程记录事件，用搜索功能查找出与该程序对应的事件日志）、SysTracer（有详细对比并且方便查找注册表和文件被进行了什么样子的修改）、还可以上VirusTotal、VirusScan进行扫描，看看它是否被认为是个恶意程序

2. 实验总结与体会

这次实验虽说基本上都是利用现有的工具，但是也遇到了一些令人困惑的问题（工具不会用、计划任务无法自动运行、分析数据变化等），需要在网上查找很多的信息，对注册表等文件的内容有了进一步的了解，感觉工具会用也蛮厉害的（比如excel表的统计功能……）

3. 实践过程记录

3.1 系统运行监控

3.1.1 Windows计划任务schtasks

使用命令schtasks /create /TN 20175323 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt" 创建计划任务

此处TR后的表示需要运行的指令
TN后面表示计划任务名字
sc表示计时方式
b表示显示执行的程序名，n表示不解析IP直接显示

注：此处的计划任务名称是netstat5323是因为我做了很多遍！最后成功的计划任务名是20175323！但是最后忘记截图

在C盘下建一个文件c:\netstatlog.bat用于显示日期和时间，内容为：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

通过控制面板->管理工具->任务计划程序，找到20175323的计划任务：

更改20175323计划中的属性->操作中的cmd，改为上面生成的bat

然后就出现了一个问题：总是能够手动运行且不报错，可是就是不能自动每分钟运行一次

最后通过以下俩个步骤解决：

我还需要在常规的安全中修改选项如下：（需要输入用户密码）

一定要修改电源选项，不然会无法触发

神奇的就是这两个小小的地方让我卡了一晚上

触发这个计划任务后，打开c:\netstatlog.txt文件，就可以看到获取到的信息

我一直开着电脑等了一天，之后将数据全部复制到excel进行统计：

小贴士：如果直接导入不能出现文本向导就复制数据，通过开始->粘贴键进入导入向导

如图导入成功：

然后可以统计数值：

emmm可以看到人人影视的程序和p4pclient.exe（应该是人人用于上传和下载的程序）访问次数最多（暴露了我边做实验边下电影的事实）

如果剔除这两个程序的话，进程数最多的就有[chrome.exe]、[DellMobileConnectClient.exe]、[svchost.exe]和[TXEDU.exe]

前两个应该没什么大问题，第三个是微软的，官方解释是“从动态链接库 (DLL) 中运行的服务的通用主机进程名称”，最后一个没查到是啥……

只能查查这个TXEDU.exe的IP归属地址，结果还真是来自四面八方的，海外也有，难道还真让我发现了一个病毒？最后在bing中查到：

emmmmm……那好吧

3.1.2 sysmon

在官网上下载sysmon工具，并设置配置文件：

<Sysmon schemaversion="10.42">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>

    <ProcessCreate onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
    </ProcessCreate>

    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

其中相关项：