Exp4 惡意代碼分析

1、實踐目標

1.1是監控你本身系統的運行狀態，看有沒有可疑的程序在運行。

1.2是分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。

1.3假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對 可疑對象進行進一步分析，好確認其具體的行爲與性質。

2、實踐內容

2.1系統運行監控
安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

2.2惡意軟件分析
(1)啓動回連，
(2)安裝到目標機
（3）讀取、添加、刪除了哪些註冊表項

（4）讀取、添加、刪除了哪些文件

（5）鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）

3、基礎問題回答

1.若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控？

方法有不少，例如：

1. 使用tcpview工具檢測有哪些程序在進行網絡鏈接，查找並鎖定未知的聯網可疑程序
2. 使用PE解析軟件查看可疑進程的詳細信息，查看其是否加殼
3. 使用Dependency Walker分析調用的DLL及其函數用途
4. 使用快照分析進程對系統作了哪些改變，新增文件是不是咱們預知的
5. 使用wireshark抓包分析進程網絡鏈接傳輸的數據究竟是什麼

2.若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

++首先可使用使用systracer工具，動態分析註冊表修改狀況，分析緣由，這樣作的目的，查看文件修改狀況和端口狀況並分析緣由。再者可使用Wireshark進行抓包分析，查看該程序傳輸了哪些數據++

4、實踐過程

1. Windows計劃任務schtasks

1.1首先在c盤建立一個txt文件，輸入如下內容後另存爲bat文件

date /t >> c:\20154330.txt
time /t >>c:\\20154330.txt
netstat -bn >> c:\\20154330.txt

-即保存日期，時間和活動鏈接

爲實現每1min記錄下有哪些程序在鏈接網絡，輸入如下命令：

schtasks /create /TN 20154330netstat /sc MINUTE /MO 1 /TR "c:\netstatlog.bat

1.2在Windows系統下，打開控制面板，搜索任務計劃，找到剛剛建立的計劃，且以最高權限運行（由於個人bat在c盤，須要管理員權限）。

因爲我遇到一些問題致使不可以記錄日誌下面是該問題的解決方式：
問題：本身電腦種種緣由建立了幾個用戶和兩個用戶組，致使任務計劃中更改設置時不成功。。。。

解決方法：
如圖：



選定你所操做的用戶組便可。

1.3日誌分析

能夠看到個人虛擬機後門的運行

用excel進行數據分析

以協議名稱進行統計

以IP地址進行統計

1. Sysmon
   在這裏下載微軟Sysinternals套件
   https://docs.microsoft.com/zh-cn/sysinternals/downloads/

咱們這裏只使用sysmon工具

參考配置以下：（本身下載新版本的要在第一行更改版本號，沿用老師或者上屆學姐學長的看狀況更改便可）

建立配置文件4330.txt

<Sysmon schemaversion="7.01">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

配置好文件使用如下指令對sysmon進行安裝

sysmon -accepteula –i -n

sysmon.exe -c 4330.xml

注：這裏要進入該文件的目錄。。。

安裝好以後咱們能夠看一下運行程序 的確在運行哦

打開事件查看器（此電腦右單擊管理->計算機管理->系統工具->任務計劃程序->Microsoft->windows->sysmon->operational）

如今開始執行上次實驗的後門程序

找一找一些事件的詳細信息會看的你感興趣的哦 我找到了個人後門程序

這是那個終端

怎麼感受我執行的一些東西都被他記錄了呢

還有一個443的端口

1. virustotal靜態分析

virscan不能分析軟件了 因此我用了virustotal

英語四級限制了個人閱讀。。。。。。

1. systracer

百度一個systracer下載安裝（很簡單）
而後打開拍四個快照，分別是
1.將惡意軟件植入到目標主機中後；
2.惡意軟件啓動回連時；
3.惡意軟件執行ls命令進行查看時；
4.惡意軟件進行拍照操做時。

1和2作對比以後

後門軟件

1. 聯網狀況分析
   在後門程序回連時，在主機的命令行中用netstat -n命令查看TCP鏈接的狀況，能夠發現其中有進行回連的後門程序：

1. Process Monitor

打開Process Monitor能夠看到程序變化，查找4.3.3.07.exe
能夠看到它的描述：

1. PEiD

PEiD是一個經常使用的的查殼工具，能夠分析後門程序是否加了殼。
加殼

不加殼

1. Process Explorer
   打開ProcessExplorer，運行後門程序4.3.3.07.exe，在Process欄能夠找到4.3.3.07.exe

雙擊後門程序4301.exe一行，點擊不一樣的頁標籤能夠查看不一樣的信息：
TCP/IP頁簽有程序的鏈接方式、回連IP、端口等信息。

Performance頁簽有程序的CPU、I/O、Handles等相關信息。

5、實驗感悟

本次實踐主要是惡意代碼分析，惡意代碼分析不只經過動態分析，也能夠靜態分析。靜態分析經過一些PE工具箱（PEview，dependency walker，Resource Hacker，PE explorer等）分析其函數連接庫、殼的狀況、特徵庫比對等操做。動態分析，在惡意代碼運行時能夠實時監測，數據抓包，例如SysTracer、SysinternalsSuite、ProceMonitor等一些工具，能夠蒐集一段時間內系統註冊表、文件等的變化。經過此次的實踐，學習到對惡意代碼的基本分析的方法，靜態和動態的分析方法綜合應用，基本上就能夠確認一個代碼的行爲了，根據以上方法，咱們不用過渡依賴於殺毒軟件給咱們的殺毒報告，能夠對有所懷疑的軟件進行自主分析。[]