20164324王启元 Exp4恶意代码分析

一、实验要求

1、系统运行监控

  • 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。
  • 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

2、恶意软件分析

分析该软件在

  • 启动回连
  • 安装到目标机
  • 及其他任意操作时(如进程迁移或抓屏)

该后门软件

  • 读取、添加、删除了哪些注册表项
  • 读取、添加、删除了哪些文件
  • 连接了哪些外部IP,传输了什么数据(抓包分析)

二、实验步骤

1、windows计划任务

  • 以管理员身份打开cmd,使用指令```schtasks /create /TN 4324netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt创建计划任务5315netstat,记录每1分钟计算机联网情况:
  • 一、实验要求

    1、系统运行监控

    • 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。
    • 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

    2、恶意软件分析

    分析该软件在

    • 启动回连
    • 安装到目标机
    • 及其他任意操作时(如进程迁移或抓屏)

    该后门软件

    • 读取、添加、删除了哪些注册表项
    • 读取、添加、删除了哪些文件
    • 连接了哪些外部IP,传输了什么数据(抓包分析)

    二、实验步骤

    1、windows计划任务

    • 以管理员身份打开cmd,使用指令```schtasks /create /TN 5315netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt创建计划任务5315netstat,记录每1分钟计算机联网情况:
    • 一、实验要求

      1、系统运行监控

      • 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。
      • 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

      2、恶意软件分析

      分析该软件在

      • 启动回连
      • 安装到目标机
      • 及其他任意操作时(如进程迁移或抓屏)

      该后门软件

      • 读取、添加、删除了哪些注册表项
      • 读取、添加、删除了哪些文件
      • 连接了哪些外部IP,传输了什么数据(抓包分析)

      二、实验步骤

      1、windows计划任务

      • 以管理员身份打开cmd,使用指令```schtasks /create /TN 4324netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt创建计划任务5315netstat,记录每1分钟计算机联网情况:
      • 在桌面建立一个netstatlog.txt文件,内容为

      • date /t >> c:\netstatlog.txt
        time /t >> c:\netstatlog.txt
        netstat -bn >> c:\netstatlog.txt
      • 这些指令是用来将记录的联网结果格式化输出到netstatlog.txt文件中

        • 将后缀名改为.bat后,用管理员身份将该文件放入C盘

        • 打开计算机管理的“任务计划程序库”,可以查看到4324netstat任务就绪,打开其属性,修改其指令为c:\netstatlog.bat

        • 在属性中“常规”一栏最下面勾选“使用最高权限运行”,不然程序不会自动运行

        • 在属性中“条件”这一选项中的“电源”一栏中,取消勾选“只有计算机使用交流电源才启动此任务”,防止电脑一断电任务就停止

        • 可以在C盘的netstat4324.txt文件中查看到本机在该时间段内的联网记录:

        • 等待一段时间(如一天),将存储的数据通过excel表进行整理

        • 首先我们可以看到TCP是最多的,其次是“wps.exe”和“kxes core.exe”。一个是wps软件云端的一个服务的进程,另一个kxescore.exe是金山毒霸的密保用户的进程。注册了金山密保之后就会呈现的。

        • 2、使用sysmon工具

          • 首先创建配置文件sysmon4324.xml,文件中包含指令
          • <Sysmon schemaversion="4.20">

             <!-- Capture all hashes -->

             <HashAlgorithms>*</HashAlgorithms>

             <EventFiltering>

               <!-- Log all drivers except if the signature -->

               <!-- contains Microsoft or Windows -->

               <ProcessCreate onmatch="exclude">

                  <Image condition="end with">chrome.exe</Image> </ProcessCreate>

               <FileCreateTime onmatch="exclude" >

                  <Image condition="end with">chrome.exe</Image> </FileCreateTime>

               <NetworkConnect onmatch="exclude">

                  <Image condition="end with">chrome.exe</Image>

                  <SourcePort condition="is">137</SourcePort>

                  <SourceIp condition="is">127.0.0.1</SourceIp>

               </NetworkConnect>

               <NetworkConnect onmatch="include">

                  <DestinationPort condition="is">80</DestinationPort>
             
                  <DestinationPort condition="is">443</DestinationPort>

               </NetworkConnect>

             
               <CreateRemoteThread onmatch="include">

                   <TargetImage condition="end with">explorer.exe</TargetImage>

                   <TargetImage condition="end with">svchost.exe</TargetImage>
              
                   <TargetImage condition="end with">winlogon.exe</TargetImage>

                   <SourceImage condition="end with">powershell.exe</SourceImage>

                </CreateRemoteThread>
             
              </EventFiltering>

            </Sysmon>

          • 以管理员身份打开命令行,使用指令Sysmon.exe -i C:\sysmon4324.xml安装sysmon
          • 在事件查看器中的应用程序和服务日志下,查看Microsoft->Windows->Sysmon->Operational。在这里,我们可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等等

          • 点开事件三,发现是我关闭了电脑管家

          • 运行实验三中生成的后门程序,并用kali进行回连

          • 发现了有上网浏览的历史记录。

          • 3、恶意软件分析
          • 文件扫描(VirusTotal、VirusScan工具等)
          • 文件格式识别(peid、file、FileAnalyzer工具等)
          • 字符串提取(Strings工具等)
          • 反汇编(GDB、IDAPro、VC工具等)
          • 反编译(REC、DCC、JAD工具等)
          • 逻辑结构分析(Ollydbg、IDAPro工具等)
          • 加壳脱壳(UPX、VMUnPacker工具等)
          • 文件扫描(VirScan工具)
          • 使用在线VirusScan工具对上次实验中生成的.jar文件进行扫描,有(8/49)个软件发现病毒
          • 点击扫描结果下方的的哈勃文件分析查看详细分析结果

        •  

          总结:
          此恶意代码主要就是通过建立一个反弹连接,受害机一旦运行该程序,攻击机就会自动获取该受害机的控制权限,并在受害机中创建进程、修改删除文件、创建事件对象等等,对受害机造成很大的威胁。

        • 四、实验总结

          1、实验后回答问题

          (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

        • 使用windows自带的schtasks指令设置一个计划任务,每隔一定的时间对主机的联网记录等进行记录。

        • 使用sysmon工具,通过配置想要监控的端口、注册表信息、网络连接等信息,记录相关的日志文件。

          (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

        • 使用VirusScan工具对可疑文件进行扫描,在哈勃文件分析当中可以很清晰的了解到这个进程的问题是什么。
        • 2.实验心得:这次的实验相对于前几次来说是比较有困难的,但是我觉得在进行了这次试验之后,我真切的学到了一些能够保护自己电脑的手段,觉得非常的开心。

posted on 2019-04-07 15:27  王启元  阅读(102)  评论(0编辑  收藏

导航