20145317《網絡對抗》Exp4 惡意代碼分析
20145317《網絡對抗》Exp4 惡意代碼分析
1、基礎問題回答
(1)總結一下監控一個系統一般須要監控什麼、用什麼來監控。windows
一般監控如下幾項信息:網絡
- 註冊表信息的增刪添改
- 系統上各種程序和文件的行爲記錄以及權限
- 實現網絡鏈接的進程,使用的IP地址和端口號等
用如下軟件工具來監控:tcp
- TCPview工具查看系統的TCP鏈接信息
- wireshark進行抓包分析,查看網絡鏈接
- sysmon用來監視和記錄系統活動,並記錄到windows事件日誌,提供文件、進程等的詳細信息
(2)若是在工做中懷疑一臺主機上有惡意代碼,請設計下你準備如何找到對應進程、惡意代碼相關文件。函數
- 使用tcpview工具檢測有哪些程序在進行網絡鏈接
- 使用PE解析軟件查看可疑進程的詳細信息,查看其是否加殼,分析調用的DLL及其函數用途
- 去專業網站掃描可疑進程,查看測評分數與信息
- 使用快照分析進程對系統作了哪些改變,新增文件
- 使用抓包軟件分析進程網絡鏈接傳輸的數據
- 使用Dependency Walker來分析是否有關於註冊表的異常行爲等。
2、實踐過程記錄
惡意代碼的靜態分析工具
-
經過VirScan的行爲分析來分析惡意代碼20145317backdoor.exe網站
-
在掃描文件後等待片刻出現
文件行爲分析後點擊查看分析:設計 
-
查看網絡行爲、註冊表行爲和其餘行爲:3d
-
PE explorer日誌
-
用PE explorer打開文件20145317backdoor.exe,查看PE文件編譯的一些基本信息,導入導出表等。code
-
點擊一下上面的「導入表(Import)」,查看一下這個程序都調用了哪些dll文件:
ADVAPI32.dll文件是一個高級API應用程序接口服務庫的一部分,調用這個dll能夠實現對註冊表的操控,-
WSOCK32.dll和WS2_32.dll這兩個DLL用於建立套接字,即會發生網絡鏈接。
PEiD
-
PEiD(PE Identifier)是一款著名的查殼工具,其功能強大,幾乎能夠偵測出全部的殼,其數量已超過470 種PE 文檔 的加殼類型和簽名。咱們使用PEiD打開test1.exe來查看這個程序是否加殼。
Nothing found [Debug]沒加殼?正常的編譯會顯示編譯器,若是什麼都沒找到,說明可能不識別該編譯器。-
能夠查看反彙編以後的代碼。
Dependency Walker
- Dependency Walker是一款Microsoft Visual C++ 中提供的很是有用的PE模塊依賴性分析工具,能夠查看 PE 模塊的導入模塊.查看 PE 模塊的導入和導出函數.動態剖析 PE 模塊的模塊依賴性.解析 C++ 函數名稱。
-
咱們使用這個軟件打開
-
Dependency Walker能更專業,更細緻具體的分析dll文件,條理更加清晰細緻,功能強大。
-
經過查看DLL文件的函數,該可執行文件會刪除註冊表鍵和註冊表鍵值。
Tcpview
- 能夠用於查看進行網絡鏈接的進程信息,因此咱們能夠經過查看每一個進程的聯網通訊狀態,初步判斷其行爲。
SysTracer
- 打開攻擊機msfconsle,開放監聽;win10下對註冊表、文件、應用狀況進行快照,保存爲
Snapshot #1 - win10下打開木馬test1.exe,回連kali,win10下再次快照,保存爲
Snapshot #2 - kali中經過msf發送文件給win10靶機,win10下再次快照,保存爲
Snapshot #4 - kali中對win10靶機進行屏幕截圖,win10下再次快照,保存爲
Snapshot #3 -
咱們能夠經過「compare」操做來比較每次快照文件的區別。
-
對比
Snapshot #1和Snapshot #2,能夠看到註冊表裏面出現了新的表項,開放了新的端口。 -
安裝到目標機時,文件內容監控發現多了個文件
-
。
-
對比一下
Snapshot #4和Snapshot #3。能夠發現啓動回連時註冊表發生變化了,截屏時註冊表也發生了一些變化。
netstat命令設置計劃任務
-
在e盤中建立一個
netstat5317.bat文件date /t >> e:\netstat5317.txt
time /t >> e:\netstat5317.txt
netstat -bn >> e:\netstat5317.txt -
在任務計劃程序中,新建一個觸發器。
- 上面內容能夠顯示咱們鏈接的網絡的時間和日期信息。
-
將任務計劃的操做選項欄的啓動程序設爲咱們的netstat5317.bat,參數爲>>e:\netstat5317.txt,這樣咱們的網絡記錄信息netstat5317.txt就會保存在f盤下。
- 建立完成後,運行任務,發現f盤下出現netstat5317.txt文件,可是沒有顯示出咱們想要的網絡鏈接記錄信息,而是顯示了「請求的操做須要提高」。
-
用管理員權限運行,便可成功。
- 1. 2018-2019 網絡對抗技術 20165231 Exp4 惡意代碼分析
- 2. 網絡對抗 Exp4 惡意代碼分析 20154311 王卓然
- 3. 20155207 《網絡對抗》exp4 惡意代碼分析 學習總結
- 4. 20154307《網絡對抗》Exp4 惡意代碼分析
- 5. 20155308《網絡對抗》Exp4 惡意代碼分析
- 6. 20145215《網絡對抗》Exp4 惡意代碼分析
- 7. 網絡對抗 Exp4 惡意代碼分析 20154321 何思影
- 8. 20154309 【網絡對抗技術】Exp4: 惡意代碼分析
- 9. 20155333 《網絡對抗》Exp4 惡意代碼分析
- 10. 2018-2019 20165237網絡對抗 Exp4 惡意代碼分析
- 更多相關文章...
- • Markdown 代碼 - Markdown 教程
- • Eclipse 代碼模板 - Eclipse 教程
- • IntelliJ IDEA代碼格式化設置
- • 互聯網組織的未來:剖析GitHub員工的任性之源
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 2018-2019 網絡對抗技術 20165231 Exp4 惡意代碼分析
- 2. 網絡對抗 Exp4 惡意代碼分析 20154311 王卓然
- 3. 20155207 《網絡對抗》exp4 惡意代碼分析 學習總結
- 4. 20154307《網絡對抗》Exp4 惡意代碼分析
- 5. 20155308《網絡對抗》Exp4 惡意代碼分析
- 6. 20145215《網絡對抗》Exp4 惡意代碼分析
- 7. 網絡對抗 Exp4 惡意代碼分析 20154321 何思影
- 8. 20154309 【網絡對抗技術】Exp4: 惡意代碼分析
- 9. 20155333 《網絡對抗》Exp4 惡意代碼分析
- 10. 2018-2019 20165237網絡對抗 Exp4 惡意代碼分析