Exp4 恶意代码分析

Posted on 2019-04-07 15:32  姜福花  阅读(106)  评论(0编辑  收藏

实践目标

1.是监控你自己系统的运行状态,看有没有可疑的程序在运行。

2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。

3.假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

实践内容

1系统运行监控

(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

参考:schtask与sysmon应用指导

 2恶意软件分析

分析该软件在启动回连、安装到目标、及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件读取、添加、删除了哪些注册表项、读取、添加、删除了哪些文件、连接了哪些外部IP,传输了什么数据(抓包分析)

准备工作

1.下载sysmon工具

直接去Windows官网下载,只有1.5m,是轻量型工具

2.下载systracer工具

 

实践过程

一、监控运行系统信息

1.Windows计划任务schtasks

为显示日期与实践,创建 netstatlog.bat文件,并在内部填写以下内容,>>右侧的是该文件所在路径

修改bat文件内容方法有两种,一种是先新建txt文件,写好内容,再变更后缀名

注意找不到后缀名记得在状态栏查看功能里,将文件扩展名勾选。

同时另一种方法,可以直接右键打开方式,选择记事本应用打开即可

准备好netstatlog.bat文件后,进入命令提示符

输入 schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\Users\jiangaomonitor\Desktop\20164304\netstatlog.bat"

成功创建windows计划,每五分钟就会监测哪些程序重在联网并记录下来。

2.生成系统运行监控日志

用右键管理员运行netstatlog.bat文件会生成netstatlog.txt文件

 

打开txt文件后

3.用Excel分析监控数据

选用自文件导入文本数据

选用分隔符号

 

 选取第二列协议部分创建数据透视表方便我们分析

       

最后效果如下

 

 有图可见连接较多的是qq,360浏览器,以及这个wwahost

二、使用symon软件

1.在目录下建立xml文件,用来设置过滤端口,内容如下

用管理员模式运行,用sysmon64.exe -i安装sysmon软件

 

 

如图所示为安装成功,输入sysmon64.exe -c 20164304.xml

如图所示,更新了搜索项目

2.进入win10的事件查看器

 

找到目录下应用程序和服务日志->Microsoft->Windows->Sysmon->Operational

这时候返回kali进行msf回连控制,查看事件中是否能够监控的到

由于设置端口号为4304

最后可搜索到

 

 三、使用Systracer分析恶意软件

目标是抓取以下四种情况的状态,并进行比较

1.snapshot#1

自然状态,直接启动take snapshot,等待扫描结束

2.记录了四个状态,分别是

snapshot#1.不做任何操作,系统自然状态

snapshot#2.启动后门回连

snapshot#4.安装后门到目标主机

snapshot#6.kali提权

3.通过右下角compare功能和view differences list进行比较

比较1号和2号

如图所示直接显示的是全部的注册表项变化

所以通过进行精确项目搜索

可以看到我所投放的后门程序

文件的变化

 

 

应用程序与端口号的变化

 比较1号和4号

由于在4号的重点是反弹连接

仔细查看了端口变化,能够查询到通过4304端口,将本机地址192.168.6.156通过tcp,使用apache http servier作为服务端,向外提供信息

比较1与6号,6号做的是进行简单的redcord_mic操作和getsystem提权操作

能够看到shell的注册表机器指令发生了改变

同样检测得到后门文件

同时在应用程序活动监测中,检查到了大量的后门活动痕迹,包括device设备的调用,用以启用麦克风设备,以及对网络等的conctrol指令调用,表示提权

 

 

 

实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

监控操作有:1.在空闲时间的异常大量网络端口信息调用,2.大量重复相似系统程序后台运行,3.异常的网络进程文件传输,4.异常时间的大量下载上传流量

监控方法有:1.使用Windows自带的计划任务schtasks,2.sysmon软件,3.systracer软件,4.wireshark

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

wireshark、systracer、processmonitor

实验心得

通过本次实验,针对了本机电脑的后台进程时候有恶意代码进行检查,但手段比较简单,都是以Windows内部自己开发工具为主的,但也避免了其他公司软件移植其他后门的嫌疑。由于计算机数据目前过于庞大,所以,在进行检索和搜查时,使用好过滤器功能是一个非常有必要的能力,能够便于精准的找到目标可能所在文件目录位置,或异常位置文件。虽然本次没有查出其他后门文件,但是依然知道了,做免杀不是一般的难,要从多种渠道上对所有杀软特征行为进行伪装,同时,也给了我用来与木马程序对抗的线索和关键。

 

Copyright © 2021 姜福花
Powered by .NET 5.0 on Kubernetes