Exp4 恶意代码分析

Exp4 恶意代码分析

20154316 王帅峰

一、 实践内容

系统运行监控

(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

恶意软件分析:分析该软件在

(1)启动回连时
(2)安装到目标机时
(3)其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。

该后门软件
读取、添加、删除了哪些注册表项?

读取、添加、删除了哪些文件?

连接了哪些外部IP,传输了什么数据(抓包分析)?

二、 实践内容

系统运行监控

1. Windows计划任务schtasks

为实现每 X min记录下有哪些程序在连接网络,输入以下命令:

schtasks /create /TN 20154316netstat /sc MINUTE /MO (自己设置的时间) /TR "cmd /c netstat -bn > c:\netstatlog.txt"

释义:TN是TaskName的缩写,我们创建的计划任务名是netstat;sc表示计时方式,我们以分钟计时填MINUTE;TR=Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口,MO 表示隔多少分钟进行一次。

此命令完成后,每分钟都会监测哪些程序在使用网络,并把结果记录在netstatlog.txt文档里,但是不显示记录的时间和日期,这可能不便于我们判断,要是想显示日期和时间,我们可以通过bat批处理文件来实现。

在C盘要目录下建一个文件c:\netstatlog.bat(先把后缀设为txt,保存好内容后把后缀改为bat)

date /t >> c:\netstat.txt

time /t >> c:\netstat.txt

netstat -bn >> c:\netstat.txt

打开控制面板->任务计划程序,找到我们的任务netstat

将其属性修改,选择选择netstatlog.bat脚本,用管理员权限运行这个可执行文件进行监听网络。

监听一段时间后,在TXT文档中打开查看其监听的网络连接。

打开Excel点击数据选项卡,在获取外部数据的方式上选择 来自文本,选择我们之前记录连接情况的文本netstatlog.txt:
并将重复值删去:

(最后也没有统计分析好这些链接,这是最大的遗憾)

2. Sysmon

明确监控目标
—— 网络连接、驱动加载、远程线程创建、进程创建、访问和结束等

sysmon微软Sysinternals套件中的一个工具,可以从码云项目的附件里进行下载,要使用sysmon工具先要配置文件,我直接用的是老师给的配置文件,创建配置文件20154316.txt

(注:一定要以管理员身份运行)

这是我配置的自己的文件:

配置好文件之后,要先使用

(加上文件路径)Sysmon.exe -i (路径加上自己创建的文件名).txt

指令对sysmon进行安装:

启动之后,便可以到事件查看器里查看相应的日志,在"运行"窗口输入
eventvwr 命令打开应用程序和服务日志,也可以根据Microsoft->Windows->Sysmon->Operational路径找到记录文件:

这是进程的详细信息:

将后门程序放入windows主机,在Kali下进行回连操作:

查看后门程序的详细信息:

3. virscan

virscan出现问题无法正常使用,故我最终选择使用virustotal。

(全是英文根本看不懂。。。检测了一下我对自己的后门程序,)

4. systracer

点击take snapshot来快照,四个快照

1.将恶意软件植入到目标主机中后;

2.恶意软件启动回连时;

3.恶意软件运行进行查看时。

5. 联网情况分析

在后门程序回连时,在主机的命令行中用netstat -n命令查看TCP连接的情况,可以发现其中有进行回连的后门程序:

回连时建立tcp连接

6. Process Monitor

打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序20154316_ backdoor.exe,再刷新一下Process Monitor的界面,可以指定查找到程序。

7. PEiD

PEiD是一个常用的的查壳工具,可以分析后门程序是否加了壳。

  • 加壳情况下

  • 不加壳情况下

8. Process Explorer

打开Process Explorer,运行后门程序20154316_backdoor.exe,在Process栏可以找到相应的运行程序。

双击后门程序一行,点击不同的页标签可以查看不同的信息:
TCP/IP页签有程序的连接方式、回连IP、端口等信息。

三、基础问题

1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

应当首先更新病毒库,并对敏感怀疑位置进行病毒查杀,如果没有找到,应该开启相关病毒扫描引擎,对计算机进行动态扫描,监控主机连接情况,统计结果后找出可疑的Ip地址和端口号,可对这些ip和端口进行有针对性的抓包,查看有无建立套接字等可疑的行为、查看有无可疑的传输内容等,还可以通过systracer等查看注册表、进程等的变化。

2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

使用systracer,在打开进程前后分别takeshot,对比前后两张快照课得到进程有哪些行为。

四、实验体会

这次实验用到的软件比较多,了解到了很多监听电脑的程序,这对我来说还是比较好奇的,虽然英文水平限制了我的分析结果,但是通过多次查看也看出来了一些关键的信息,总体来讲这些软件对我们自己电脑的安全来说还是很有帮助的,学好这门课可真是太有实际价值了!!!

posted on 2018-04-13 08:43  wangshuaifeng  阅读(87)  评论(0编辑  收藏

导航