Exp4 恶意代码分析

Exp4 恶意代码分析

20154316 王帅峰

一、 实践内容

系统运行监控

（1）使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

恶意软件分析：分析该软件在

（1）启动回连时

（2）安装到目标机时

（3）其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。

该后门软件
读取、添加、删除了哪些注册表项？

读取、添加、删除了哪些文件？

连接了哪些外部IP，传输了什么数据（抓包分析）？

二、 实践内容

系统运行监控

1. Windows计划任务schtasks

为实现每 X min记录下有哪些程序在连接网络，输入以下命令：

schtasks /create /TN 20154316netstat /sc MINUTE /MO （自己设置的时间） /TR "cmd /c netstat -bn > c:\netstatlog.txt"

释义：TN是TaskName的缩写，我们创建的计划任务名是netstat；sc表示计时方式，我们以分钟计时填MINUTE；TR=Task Run，要运行的指令是 netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口,MO 表示隔多少分钟进行一次。

此命令完成后，每分钟都会监测哪些程序在使用网络，并把结果记录在netstatlog.txt文档里，但是不显示记录的时间和日期，这可能不便于我们判断，要是想显示日期和时间，我们可以通过bat批处理文件来实现。

在C盘要目录下建一个文件c:\netstatlog.bat（先把后缀设为txt，保存好内容后把后缀改为bat）

date /t >> c:\netstat.txt

time /t >> c:\netstat.txt

netstat -bn >> c:\netstat.txt

打开控制面板->任务计划程序，找到我们的任务netstat

将其属性修改，选择选择netstatlog.bat脚本，用管理员权限运行这个可执行文件进行监听网络。

监听一段时间后，在TXT文档中打开查看其监听的网络连接。

打开Excel点击数据选项卡，在获取外部数据的方式上选择 来自文本，选择我们之前记录连接情况的文本netstatlog.txt：
并将重复值删去：

（最后也没有统计分析好这些链接，这是最大的遗憾）

2. Sysmon

明确监控目标
—— 网络连接、驱动加载、远程线程创建、进程创建、访问和结束等

sysmon微软Sysinternals套件中的一个工具，可以从码云项目的附件里进行下载，要使用sysmon工具先要配置文件，我直接用的是老师给的配置文件,创建配置文件20154316.txt

（注：一定要以管理员身份运行）

这是我配置的自己的文件：

配置好文件之后，要先使用

（加上文件路径）Sysmon.exe -i （路径加上自己创建的文件名）.txt

指令对sysmon进行安装：

启动之后，便可以到事件查看器里查看相应的日志，在"运行"窗口输入
eventvwr 命令打开应用程序和服务日志，也可以根据Microsoft->Windows->Sysmon->Operational路径找到记录文件：

这是进程的详细信息：

将后门程序放入windows主机，在Kali下进行回连操作：

查看后门程序的详细信息：

3. virscan

virscan出现问题无法正常使用，故我最终选择使用virustotal。

（全是英文根本看不懂。。。检测了一下我对自己的后门程序，）

4. systracer

点击take snapshot来快照，四个快照

1.将恶意软件植入到目标主机中后；

2.恶意软件启动回连时；

3.恶意软件运行进行查看时。

5. 联网情况分析

在后门程序回连时，在主机的命令行中用netstat -n命令查看TCP连接的情况，可以发现其中有进行回连的后门程序：

回连时建立tcp连接

6. Process Monitor

打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化，运行一下后门程序20154316_ backdoor.exe，再刷新一下Process Monitor的界面，可以指定查找到程序。

7. PEiD

PEiD是一个常用的的查壳工具，可以分析后门程序是否加了壳。

• 加壳情况下
  

• 不加壳情况下

8. Process Explorer

打开Process Explorer，运行后门程序20154316_backdoor.exe，在Process栏可以找到相应的运行程序。

双击后门程序一行，点击不同的页标签可以查看不同的信息：
TCP/IP页签有程序的连接方式、回连IP、端口等信息。

三、基础问题

1.如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

应当首先更新病毒库，并对敏感怀疑位置进行病毒查杀，如果没有找到，应该开启相关病毒扫描引擎，对计算机进行动态扫描，监控主机连接情况，统计结果后找出可疑的Ip地址和端口号，可对这些ip和端口进行有针对性的抓包，查看有无建立套接字等可疑的行为、查看有无可疑的传输内容等，还可以通过systracer等查看注册表、进程等的变化。

2.如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

使用systracer，在打开进程前后分别takeshot，对比前后两张快照课得到进程有哪些行为。

四、实验体会

这次实验用到的软件比较多，了解到了很多监听电脑的程序，这对我来说还是比较好奇的，虽然英文水平限制了我的分析结果，但是通过多次查看也看出来了一些关键的信息，总体来讲这些软件对我们自己电脑的安全来说还是很有帮助的，学好这门课可真是太有实际价值了！！！