20155324 《网络对抗》恶意代码分析

20155324 《网络对抗》恶意代码分析

实验过程

1、计划任务监控

在C盘根目录下建立一个_{netstatlog.bat}文件（先把后缀设为txt，保存好内容后记得把后缀改为bat），内容如下：

出现的问题

文件名不能改成_.bat

解决：win10默认是不显示后缀名的，只要打开文件夹选项，点击查看并取消勾选上隐藏已知文件类型的拓展名即可。

_{netstatlog.bat}文件的作用是将记录的联网结果按格式输出到相同目录下的_{netstatlog.txt}文件中。

用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个任务，记录每隔两分钟计算机的联网情况。

这个时候极易出现拒绝访问的提示，我们可以用管理员权限打开命令提示符

Win10怎么以管理员身份运行CMD命令提示符

创建任务成功就一直盯着txt文件，列出部分活动链接截图

现在看一下两分钟一次的检查，时间截图如下：

2、sysmon工具监控

配置文件，使用老师提供的配置文件模板，简单修改，把微信、360浏览器、QQ等放进了白名单，保存在了c盘。

配置好文件之后，要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令对sysmon进行安装：

启动之后，便可以到事件查看器里查看相应的日志：

我查看了其中一部分事件的详细信息，比如这个事件是之前做计划任务时所创建的：

事件1（dllhost进程）：

事件2（360）：

事件3（微信）：

事件5(qq拼音):

不知道为什么只有事件1235 没有4.

在网上找了个关于事件4的博客，至于由于时间的原因就没有去尝试，以后有时间希望能尝试一下。

javascript基础：事件4事件绑定及深入

三、使用virscan分析恶意软件

• 使用上一次的网站扫描，在virscan网站上查看上次实验所做的后门软件的文件行为分析：

• 可以看到其启动回连主机的部分IP地址以及端口号，还有对注册表键值进行了删除

• 还有反调试和创建事件对象的行为

4.systracer注册表分析

首先下载，systracer下载网址

5、联网情况分析

在后门程序回连时，在主机的命令行中用netstat -n命令查看TCP连接的情况，可以发现其中有进行回连的后门程序

• 回连时建立tcp连接
  

使用wireshark进行抓包后可以看到，其先进行了TCP的三次握手，之后再进行数据的传输，如图所示，带有PSH,ACK的包传送的就是执行相关操作指令时所传输的数据包：

使用PEiD分析恶意软件

• PEiD是一个常用的的查壳工具，可以分析后门程序是否加了壳:

使用Process Monitor分析恶意软件

使用Process Explorer分析恶意软件

• 打开Process Explorer，在Process栏点开explorer.exe前面的小加号，运行后门程序5324test32.exe，界面上就会出现它的基本信息。

双击后门程序那一行，点击不同的页标签可以查看不同的信息：

其调用的ntdll库，ntdll.dll是重要的Windows NT内核级文件,描述了windows本地NTAPI的接口。当Windows启动时，ntdll.dll就驻留在内存中特定的写保护区域，使别的程序无法占用这个内存区域。

基础问题回答

• 如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

1. 可以使用systracer工具比较某个程序的执行前后计算机注册表、文件、端口的变化情况。
2. 可以使用Wireshark进行抓包分析，然后查看该程序联网时进行了哪些操作。
3. 使用netstat命令设置一个计划任务，指定每隔一定时间记录主机的联网记录等等。
4. 可以通过sysmon工具，配置好想记录事件的文件，然后在事件查看器里面查看相关文件。

实践总结与体会

我发现了，老师在课上教我们使用了好多工具和方法来分析，正好用在了这次的实验上，果然知识都是联合起来使用的啊.