20145316許心遠《網絡對抗》第四次實驗：惡意代碼分析

20145316許心遠《網絡對抗》第四次實驗：惡意代碼分析

實驗後回答問題

請設計下你想監控的操做有哪些，用什麼方法來監控

• 想要監控的操做
  • 監控連接了哪些ip和端口
  • 監控註冊表信息
  • 監控文件的增刪
  • 權限變更
• 想要用什麼方法進行監控
  -靜態方法
  • virscan掃描
  • ip explorer分析屬性
  • dependency walker分析
  • peid分析
    -動態方法
  • wireshark抓包分析
  • sysmon監視記錄系統活動，並記錄系統日誌
  • systracker查看註冊表和文件信息
  • 建立任務監控

若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息

• TCPview工具能夠查看系統的TCP鏈接信息
• wireshark進行抓包分析，查看系統到底進行了哪些網絡鏈接
• systracer查看註冊表信息的改動是否合理

• sysmon/netstat監視和記錄系統活動，並記錄到windows事件日誌

  實驗體會

• 終於理解了老師上課時說的「前三次實驗你們都作得挺舒服的」這句話了，此次實驗剛開始真是「透心涼，心飛揚」，一直到如今其實作得都並不滿意，不少東西沒有作全分析全，這才感受到網絡對抗這門課不是簡單的種後門種病毒玩遊戲，仍是有不少硬知識須要去消化理解。好比說再systracer的snapshot環節，明明都照出來了，可就是不懂這些刪減的表項到底什麼意思，哪一個進程開動了改往哪兒找，這充分顯示出理論學習的不紮實。

• 以前三次實驗都是老師給出實驗大致步驟，一步一步照着作下去，像按照說明書搭房子，鍛鍊的是動手能力，但此次實驗幾乎沒有實驗指導，怎麼作都要本身去想，從地基到房梁結構都要本身設計，側重於鍛鍊思惟能力，收穫了一種全新的學習體驗。

  實驗過程

• 惡意代碼是指沒有做用卻會帶來危險的代碼，一個最安全的定義是把全部沒必要要的代碼都看做是惡意的，沒必要要代碼比惡意代碼具備更寬泛的含義，包括全部可能與某個組織安全策略相沖突的軟件。
• 惡意代碼的分析方式有兩種：靜態分析技術和動態分析技術。在這篇博客裏咱們靜態分析選用的工具是：virscan、PE explorer、PEiD、dependency walker；動態分析選用的工具是：systracer、wireshark、netstat、sysmon。
• 本次實驗採用的代碼是第二次後門實驗的代碼，中途改過多個名20145316_backdoor、fool531六、exp4等都是，你們意會。
• win10的ip：192.168.2.175（橋接模式）

• 虛擬機的ip：192.168.2.202（橋接模式）

virscan掃描

• 用上次實驗的方法將虛擬機生成的後門傳送到主機
  
  上傳至virscan的在線網頁，進行掃描（由於一點問題，我改了文件名）掃描結果以下：
  
• 等待一會，點擊「文件行爲分析」，生成行爲分析報告
  
• 另外還有一些不須要工具的簡單方法，好比說直接右鍵屬性，沒有證書、文件信息缺失的文件多有問題
  

PE explorer

• 文件頭信息菜單下能夠看一些簡單的時間戳等基本屬性信息
  
  
• 導入表菜單下能夠看這個程序都調用了哪些dll文件。下圖中的ADVAPI32.dll文件是一個高級API應用程序接口服務庫的一部分，調用這個dll能夠實現對註冊表的操控,而WSOCK32.dll和WS2_32.dll這兩個DLL用於建立套接字，即會發生網絡鏈接。這3個dll同時出現，難道不奇怪嗎？

• PEiD

• 直接導入文件，查看程序是否加殼
• but這個卻告訴咱們「nothing found」，好像是一個乖巧軟萌的程序啊
  

• 嘗試過其餘同窗的作法，進一步展開，但等待個人仍然是「not packed」，不造爲啥，可能版本過低或者64位系統的緣故吧。
  

  dependency walker

• dependency walker這個軟件也是針對dll進行分析的，並且顯然比PE Explorer更強大
  

• 哈哈，在這裏咱們能夠找到一個這個惡意軟件刪除註冊表鍵值的函數調用
  

  systracer（個人2.6版本有點低，建議下2.10）

• 從這裏開始咱們的動態分析吧~創建4個快照snapshot
  • snapshot#1：什麼都不作的狀況
  • snapshot#2：kali生成後門並文件經過ncat傳到主機上
  • snapshot#3：kali打開msf監聽並回連成功
  • snapshot#4：kali在msf監聽端對主機進行截屏
    
• 快照結果對比分析
  • 1&2————新增了咱們傳輸的文件exp4（顯示有些亂碼）
    
  • 1&2————ncat.exe被調用
    
  • 1&2————註冊表發生變化
    
    
  • 2&3————新增註冊表項vitualdesktop，得到主機shell
    
  • 2&3————註冊表發生變化
    

  • 3&4————註冊表發生變化
    

    wireshark抓包

• 我抓取了kali向主機傳送後門程序、回連、抓屏過程的數據包，設置正確的過濾條件，能夠很輕易的獲取相關信息，這些數據包裏面含有三次握手過程，好比下圖前三行。
  

• 「TCP segment of a reassemble PDU」是大段報文分解成段發送，像這部分應該就是傳送後門文件時的數據。
  

  netstat

• 建立任務，設置任務計劃裏的觸發器，每5分鐘反饋
  
• 在C盤下建立文件夾：5316，在文件夾下建立netstat5316.txt,寫一個腳本，內容以下:
  
• 保存後將後綴改成.bat
• 設置任務計劃的「操做」選項欄，將啓動程序設爲咱們的netstat5316.bat，參數爲>>c:\5316\netstat5316.txt，這樣咱們的網絡記錄信息netstat5316.txt就會保存在C盤5316文件夾下
  
• 建立完成，運行任務，5316文件夾下出現咱們的txt文件
  

• txt截的圖沒啥分析價值，傳一張以前在命令行執行netstat的圖吧。能夠看到kali回連成功那裏的extablished。
  
  

  sysmon

• 安裝sysmon成功，xml文件內容複製老師的
  

• 查看系統進程