20155234 exp4 惡意代碼分析

實驗4 惡意代碼分析

系統運行監控

Schtasks

先創建一個netstat20155234.txt文件，在文件中輸入
date /t >> c:\netstat20155234.txt
time /t >> c:\netstat20155234.txt
netstat -bn >> c:\netstat20155234.txt
而後將此文件名改成netstat20155234.bat
再創建一個netstat20155234.txt，用來將記錄的聯網結果格式化輸出到其中
將這兩個文件剪切到c盤目錄下
而後，以管理員身份打開命令行，輸入schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "c:\netstat20155234.bat"
成功建立計劃任務後，打開netstat20155234.txt就能夠看見監控

能夠看出我當時運行了360瀏覽器和微信，能夠看出個人主機ip爲192.168.43.45，訪問微信須要通過123.125.54.248的北京聯通ip。

而360se中的42.121.254.191來自阿里雲。而且都利用了tcp協議。

sysmon工具

配置及運行過程其餘同窗已經寫得十分詳細了，我在下面給出個人事件日誌。

• 這是360瀏覽器
  

  記錄了我運行360瀏覽器打開了一個網頁

• 這是一個運行的後門但並無回連
  

  能夠看出只是一個單純的運行的應用程序

• 這是一個運行而且回連成功的後門
  

  咱們能夠清晰的看出這是利用tcp訪問了1234端口，ip爲192.169.152.128

  在線分析

  
  

  由這張圖能夠發現，這個後門程序使用了ADVAPI32.dll、KERNEL32.dll、MSVCRT.dll、WS2_32.dll、WSOCK32.dll，這五個連接庫，其中WS2_32.dll、WSOCK32.dll是比較熟悉的win上面編寫SOCKET用的，這是用來回連使用的，而advapi32.dll是一個高級API應用程序接口服務庫的一部分，包含的函數與對象的安全性，註冊表的操控以及事件日誌有關，從這句解釋就能夠看出，本後門程序的潛在的威脅，kernel32.dll是Windows 9x/Me中很是重要的32位動態連接庫文件，屬於內核級文件。它控制着系統的內存管理、數據的輸入輸出操做和中斷處理，當Windows啓動時，kernel32.dll就駐留在內存中特定的寫保護區域，使別的程序沒法佔用這個內存區域。而msvcrt.dll是微軟在windows操做系統中提供的C語言運行庫執行文件（Microsoft Visual C Runtime Library)，其中提供了printf,malloc,strcpy等C語言庫函數的具體運行實現，而且爲使用C/C++(Vc)編譯的程序提供了初始化（如獲取命令行參數）以及退出等功能。

  惡意軟件分析

  Systracer

  這是Windows正常運行
  
  這是運行後門回連以後
  
  

  能夠看出利用tcp協議訪問1234端口

  能夠看出後門在更改註冊表

  在回連成功後輸入dir命令能夠看出多了一個svchost.exe的服務

  實驗後回答問題

  若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

• 能夠經過計劃任務，來創建一個定時更新的日誌來查看

• 經過sysmon來監控。

  若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

• 能夠經過抓包工具，進行分析。

• 經過systracer工具分析某個程序執行先後，計算機註冊表、文件、端口的一些變化狀況。

  實驗總結與體會

  經過本次試驗，從監測發現可疑文件到對可疑代碼進行分析再到確認惡意代碼，收穫是很多的。此次學習，學會了殺毒軟件所不能解決的事情。上次作免殺得知，殺毒軟件的檢測是基於惡意代碼的特徵嗎進行識別的。若是一個惡意代碼的特徵碼不在殺毒軟件的特徵庫裏，那麼會產生嚴重後果。