Exp4惡意軟件分析 20154326楊茜

，1.實踐目標

 1.1是監控你本身系統的運行狀態，看有沒有可疑的程序在運行。

 1.2是分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。

 1.3假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行爲與性質。

 

2.實踐內容（3.5分）

 2.1系統運行監控（2分）

（1）使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。

（2）安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

參考：schtask與sysmon應用指導

實際日誌的分析還須要發揮下本身的創造力，結合之前學過的知識如linux的文本處理指令等進行。分析的難點在於從大量數據中理出規律、找出問題。這都依賴對結果過濾、統計、分類等進一步處理，這就得你們會什麼用什麼了。

 2.2惡意軟件分析（1.5分）

分析該軟件在(1)啓動回連，(2)安裝到目標機(3)及其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。該後門軟件

（3）讀取、添加、刪除了哪些註冊表項

（4）讀取、添加、刪除了哪些文件

（5）鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）

 該實驗重點在「分析」，不是「如何使用某軟件」。組長、課題負責人要求寫細一點，其餘人能夠重點放在分析上。

 

3.報告內容

  3.1實驗後回答問題

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

• 使用Windows自帶的schtasks指令設置一個計劃任務，指定每隔必定時間記錄主機的聯網記錄或者是端口開放、註冊表信息等等；
• 經過sysmon工具，配置好想記錄事件的文件，以後在事件查看器裏找到相關日誌文件即可以查看；
• 使用Process Explorer工具，監視進程執行狀況，查看是否有程序調用了異常的dll庫之類的。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

• 使用Wireshark進行抓包分析，查看該程序聯網時進行了哪些操做；
• 使用systracer工具分析某個程序執行先後，計算機註冊表、文件、端口的一些變化狀況。

 3.2實驗總結與體會

實驗其實賊簡單，就是分析的地方出問題了。。。看不懂== 努力分析了一波，也不知道對不對。可是總算仍是有點收穫，知道怎麼查看本身電腦裏有不明程序了。

 

 3.3實踐過程記錄

（1）任務計劃

首先打開管理員：命令提示符，輸入下面的指令，建立一個netstatlog.txt在c盤根目錄

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

而後在桌面建立一個4326的文本文件，再把上面的代碼寫進去，把它拖到c盤根目錄，接着重命名方式把後綴txt改爲bat。

第二步：我們打開管理員：命令提示符，不開管理員命令提示符就會拒絕操做喲~~而後輸入下面的指令建立一個名叫4326的任務，設置成2分鐘回連主機一次，而後將主機運行狀況反饋寫進最開始的那個txt文件裏面：

 

打開C盤能夠看到該文件：

而後把它丟這裏不理它，玩會手機啥的再回來。。。。

如今打開C盤中的netstatlog文件能夠看到記錄下來的東西：大概就是咱們如今正在運行的程序的有關信息。

時間段的截圖：

打開excel——>數據——>刪除重複項；如今數據整理了以後有192條消息，好好觀察一下，沒看到有啥可疑的。。。

從組長電腦裏拷過來的Sysmon壓縮包，而後打開管理員：命令提示符開始運行下面的代碼

sysmon -accepteula –i -n

（注意要把它先cd到解壓後文件夾所在地址才能用上面的代碼）

而後輸入sysmon -c xxx.xml命令能夠對sysmon進行配置指定配置文件（安裝時請用-i）

接下來進入時間查看器，能夠看到Sysmon在運行了

在計算機管理工具-事件查看器下能夠查看日誌信息，日誌位置在 應用程序和服務日誌/Microsoft/Windows/Sysmon/Operational下

我們能夠在下面查看事件：

（網易雲）

（UC瀏覽器）

 在這裏我經過parentimage推測，後門程序是運用了explorer程序來實現的。

（回連後門程序後找到的，原本是想找ip地址和端口號的事件，可是==我找不到啊。。。。因而截圖證實，我是回連上了的，只是找不到而已。）

 網上下載一個systracer，下載的時候裏面有好多捆綁軟件。。。。用完了我去殺殺毒。。。

第一張快照是後門程序回連時候的，第二張是回連成功後在kali裏面輸入指令ls，第三張是關閉鏈接後的

先將一、3進行對比

 

 

== 我感受就是修改了註冊表。。。其實我真看不懂。。。可是能夠看獲得個人後門程序的ip和端口號，肯定它是開始運行了的。

 

 從這裏面咱們就能看到，（紅色是刪除的，綠色是增長的），1——>3就是回連上了到關閉後門的過程，因此後門程序在主機運行程序中被刪除了。並且剛開始回連上了電腦管家被關了，而後關掉後門後電腦管家又被打開了？？

這個是1——>2的：

（仍是修改了一堆看不懂的註冊表）

2——>3的過程是：回連後門——>控制端輸入指令進行控制；

第一個小紅框是我以前推測的運用explorere.exe來實現後門控制的，在這裏它是綠色，因此我認爲個人推測成立。

第二個小紅框。。。我不知道這是個啥，是被刪除了的程序。。（求解答==）

接着2——>3

我不是太明白爲何2——>3的過程要添加explorer程序，按個人想法應該是隻有一個刪除explorer的。這個過程咱們仍是能夠看到後門程序的存在（求解答！）

這三個過程當中都出現了開關安全管家的過程，我不是太明白爲何，猜想是由於我這個後門程序是上節課作的免殺後門形成的（求解答！！）

下面使用命令提示符來監測tcp鏈接，能夠看到

(端口號原本應該是4326的，可是上次實驗要求端口號爲學號＋400)

由於個人win系統下載wireshark缺失一個文件打不開，因此就直接在linux裏面使用系統自帶wireshark抓包，結果以下：

實驗過程當中在分析數據的地方有三個問題還未解決，請老師給予解答=3=