Exp4 惡意代碼分析

 

1、實踐目標

1.監控本身系統的運行狀態，看有沒有可疑的程序在運行。

2.是分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。

3假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行爲與性質。

2、實踐步驟

1.系統運行監控

使用 netstat 定時監控

首先建立一個txt文件，用來將記錄的聯網結果按格式輸出到netstatlog.txt文件中，內容爲：

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

而後改爲.bat

 以管理員身份運行cmd,

輸入schtasks /create /TN netstatlog20151120 /sc MINUTE /MO 2 /TR "c:\netstatlog.bat（上面建立的文件） 建立間隔2分鐘的計劃任務。

可是並無運行，不知道什麼狀況

雙擊而後出現屬性框 操做，修改啓動程序爲.bat

最高權限運行

結果仍是無法運行，我以爲本身的電腦老是與別人不一樣的設置，幾經摸索。。

把條件中的勾全去掉

Ok了

過來兩天，採用學姐的方法，將數據導入wps中，

出現異常的smartscren.exe，的確，在此期間我作事後門實驗，調用了攝像頭偷拍

1.2使用sysmon工具監控系統運行

Sysmon是微軟Sysinternals套件中的一個工具，能夠監控幾乎全部的重要操做

先建立配置文件 20151120.txt，內容是複製老師的內容

打開事件管理器，全部的事項都被記錄，

我進行後門實驗，用kali對win10進行控制。

結果首先出現了svhost.exe，咦，這是什麼呢，百度一下

svchost.exe是一個屬於微軟Windows操做系統的系統程序，微軟官方對它的解釋是：Svchost.exe 是從動態連接庫 (DLL) 中運行的服務的通用主機進程名稱。這個程序對系統的正常運行是很是重要，並且是不能被結束的。許多服務經過注入到該程序中啓動，因此會有多個進程。

由於svchost進程啓動各類服務，因此病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破壞的目的（如衝擊波變種病毒「w32.welchia.worm」）。但windows系統存在多個svchost進程是很正常的

好吧，這麼說的話，這個進程額 ，很重要

進行偷拍，與調用win10下的shell

嗯，被逮住了，

可是除此外我還發現一些有趣的事情，

這個主機名爲月亮的是什麼鬼，爲何出如今個人計算機日誌上

注意到sourceportname爲llmnr，百度一下

額，難道是它在進行攻擊，，，，，，，，，正在研究中。。

1.3利用virtool分析木馬

持續研究中

實驗總結與體會

在實驗中，感受坑愈來愈深，感受本身基礎好薄弱，對於一些概念與理論好比進程，行爲分析等還有進一步學習，不過我以爲這課蠻有意思的，原來網絡世界是頗有趣的