2018-2019 網絡對抗技術 20165231 Exp4 惡意代碼分析

實驗目標

1.是監控你本身系統的運行狀態，看有沒有可疑的程序在運行。

2.是分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。

3.假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行爲與性質。

實踐內容（3.5分）

2.1系統運行監控（2分）

（1）使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。

（2）安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

參考：schtask與sysmon應用指導

實際日誌的分析還須要發揮下本身的創造力，結合之前學過的知識如linux的文本處理指令等進行。分析的難點在於從大量數據中理出規律、找出問題。這都依賴對結果過濾、統計、分類等進一步處理，這就得你們會什麼用什麼了。

2.2惡意軟件分析（1.5分）

分析該軟件在(1)啓動回連，(2)安裝到目標機(3)及其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。該後門軟件

（3）讀取、添加、刪除了哪些註冊表項

（4）讀取、添加、刪除了哪些文件

（5）鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）

實驗過程

一、系統運行監控

使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。

一、：在C盤目錄下建一個文本文件而後輸入內容後改後綴名爲.bat文件c:\Temp\netstatlog.bat（這裏可能在C盤根目錄下沒法建立文本文件，能夠進入一個文件夾建立後移出來）

date /t >> c:\netstatlog.txt  
time /t >> c:\netstatlog.txt  
netstat -bn >> c:\netstatlog.txt

二、：在windows命令行下輸入命令：schtasks /create /TN 20165231netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

TN是TaskName的縮寫，咱們建立的計劃任務名是20165231netstat
sc表示計時方式，咱們以分鐘計時填MINUTE
TR=Task Run，要運行的指令是 netstat
bn,b表示顯示可執行文件名，n表示以數字來顯示IP和端口
c:\netstatlog.txt相似於Linux中的重定向，輸出將存放在C盤下的netstatlog.txt文件中

三、在任務計劃程序種找到建立的任務，而後在操做中修改成咱們剛剛修改的.bat文件，而後在常規欄目勾選以最高權限運行。

而後在C盤的netstatlog.txt文件中查看網絡鏈接記錄

四、而後將netstatlog.txt導入excel中查看分析


能夠看到我電腦當時啓動了vmware（虛擬機）、cloudmusic（網易雲音樂）、SearchUI（搜索工具everthing）、chrome（瀏覽器）、TIM（qq）、Foxmail（郵箱）
而後作統計圖分析

（沒錯當時開着虛擬機開着網頁上着網聽歌因此vmware、chrome、網易雲音樂動做頻繁）
（以前是在虛擬機作的，後來發如今主機win10上好作些就換了主機）

二、使用sysmon工具

首先建立配置文件sysmon5231.xml，文件中包含指令

<!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    
    <NetworkConnect onmatch="exclude">
    
      <Image condition="end with">iexplorer.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    
<NetworkConnect onmatch="include"> 
      <DestinationPort condition="is">5231</DestinationPort>     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>
    
    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

sysmon啓動

這裏注意代碼開頭的 <Sysmon schemaversion="4.20">中版本號

在事件查看器(控制面板>系統與安全>管理工具>事件查看器)中的應用程序和服務日誌下，查看 Microsoft->Windows->Sysmon->Operational。在這裏，咱們能夠看到按照配置文件的要求記錄的新事件，以及事件ID、任務類別、詳細信息等等

利用Sysmon具體分析日誌的例子我選擇了本身實驗中生成的後門20165231_backdoor.exe進行分析。

啓動回連、安裝到目標主機。
而後在事件查看器中發現了後門程序運行

• SearchFilterHost.exe是桌面搜索引擎的索引程序，其主要做用是創建快速索引文件，讓用戶可以更好的搜索出電腦中的任意資料。它會在計算機空閒時自動掃描索引位置的文件名、屬性信息和給定類別的文件內容，這些索引位置默認包括桌面、收藏夾、開始菜單、系統目錄。

好像並無分析出什麼，只看懂一個個人後門啓動了

三、惡意軟件分析

分析該軟件在
(1)啓動回連，(2)安裝到目標機(3)及其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。該後門軟件

（3）讀取、添加、刪除了哪些註冊表項

（4）讀取、添加、刪除了哪些文件

（5）鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）

使用VirusTotal分析惡意軟件

分析以前實驗生成的帶殼後門
能夠看出它的SHA-一、MD5摘要值、文件類型、文件大小，以及TRiD文件類型識別結果。

Virus Total也能夠查出殼

使用PEiD分析惡意軟件

使用PEiD分析以前實驗加殼的後門

使用Systracer分析惡意軟件

• 先下載安裝Systracer，而後在打開後門前「take snapshot」打開快照，而後在打開後門回連成功後再「take snapshot」。

• 點擊上方「Applications」->左側「Running Processes」->找到後門進程「20165231_backdoor.exe」->點擊「Opened Ports」查看回連地址、遠程地址和端口號
  
  

• 在快照界面「Snapshots」右下角點擊「Compare」，比對一下回連先後計算機發生的變化（全部藍色的地方，就是先後發生變化的地方）
  
  （MRUList(Most Recently Used)值項記錄的是所運行程序命令的順序）
  
  此外，一些Systracer未受權的地方咱們是無法查看的
  
  經過查看後門軟件的「opened handles」（打開的句柄）來對比他們都作了什麼
  

• 用wireshark抓包分析鏈接了哪些外部IP，傳輸了什麼數據
  
  通過目的和源IP篩選後
  能夠看到數據往來很頻繁，甚至好像有些沒加密嗎？？？

實驗後回答問題

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，因此想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

• 使用schtasks，設置一個計劃任務，每隔必定的時間對主機的聯網記錄等進行記錄。固然這個有點煩每過一段時間就閃一下cmd彈窗。

• 使用sysmon工具，經過修改配置文件，記錄相關的日誌文件。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

• 使用Wireshark進行抓包分析，監視其與主機進行的通訊過程。

• 使用systracer工具分析惡意軟件,進行快照的對比（註冊表、文件等）.

實驗感想

本次實驗重在分析，也讓我學會使用了一些監視軟件，殺軟防不住狀況下也能人工自主有一些警覺意識，也有一些手段能夠追查惡意代碼。
其實我老早就有監控電腦的想法了，去年十月電腦IE瀏覽器不幸被2345劫持主頁，每次打開IE自動彈出兩個2345主頁，我經過修改internet選項和修改註冊表都沒辦法剷除這個流氓，網上搜尋無果。最近火絨爆出2345攜帶病毒，經過廣告彈窗侵入用戶電腦盜取用戶各種軟件登錄名及密碼上傳網上，看到後我更要剷除2345這顆毒瘤！我以爲能夠用本次實驗的工具監視IE每次打開的動向，看看2345到底隱藏在哪裏被調用。若是是我年輕了，那就等着重裝吧！