惡意代碼分析

上次實驗作的是後門原理與實踐，裏面已經大概講了殺軟的原理。同時也發現殺軟不少時候不能識別病毒庫中沒有的病毒，這時候就須要本身對惡意程序進行分析了。基本的思路就是經過添加對系統的監控，查看監控的日誌來分析哪些程序有多是惡意程序，而後再對這些程序進行分析。

一般惡意代碼會創建沒必要要的網絡鏈接，或者是對系統關鍵目錄進行修改。經過這些特徵咱們能夠初步肯定哪些程序有惡意代碼的嫌疑，再將其提交到virustotal等網站上進行進一步的分析。

下面就利用幾個簡單的方法來實現對系統的監控。

經過批處理添加計劃任務實施監控

cmd有不少指令能夠直接獲取電腦的網絡狀態，並且較爲詳細，咱們能夠經過netstat -bn來獲取計算機的具體網絡鏈接狀況，包括了協議、本地地址、外部地址、狀態和對應的進程，足夠咱們監控需求。能夠將這句命令寫入批處理文件而後設置其爲任務計劃自動運行來實現對網絡端口的監測。

date /t>> netlog.txt　　#寫入日期
time /t >> netlog.txt　　#寫入時間
netstat -bn >> netlog.txt　　#寫入網絡鏈接狀況

將上面幾行代碼在記事本中保存下來，而後把後綴.txt改成.bat就能夠運行了，以後能夠在控制面板的計劃任務裏面添加新的計劃任務，觸發器設置爲5分鐘一次，操做改成運行咱們的.bat文件就能夠了。

下面是記錄下的部分數據：

利用sysmon工具監控

首先去sysinternal官網下載一個Sysmon安裝，安裝須要一個配置文件，說明監控的內容及其餘參數，這個文件我直接用了老師給的配置文件，裏面的配置信息有如下內容：

1.對除了具備windows和microsoft的簽名認證的程序之外的全部程序的驅動操做實施監控

2.對出了瀏覽器和127.0.0.1:137爲原地址以外的全部網絡鏈接進行監控

3.對explorer.exe、svchost.exe、winlogon.exe、powershell.exe等敏感程序實施線程建立監控，目的是監控後門的遷移

在"運行"窗口輸入eventvwr命令（我是直接輸的，這個命令在哪一個目錄輸均可以的），打開應用程序和服務日誌，根據Microsoft->Windows->Sysmon->Operational路徑找到記錄文件。

雙擊列出的事件就能夠查看詳細信息，如上圖中能夠看出個人搜狗輸入法請求了網絡鏈接。

而後我打開用kali虛擬機連上本身電腦後再進行一次migrate 到explorer下，完成操做後刷新sysmon日誌能夠找到下面兩個監控，一個網絡鏈接，一個線程建立。

惡意軟件分析

1.特徵庫對比

將上面sysmon監控到的可疑文件上傳到virustotal上掃描看看是否有安全威脅。

 

 一掃就看出問題了，16個殺軟都能殺出來，因此這多半是一個木馬程序。

2.systracer

利用systracer先給電腦照個快照，我選了部分文件添加快照。而後打開虛擬機用msfconsole連上主機，操控遠程主機打開以前快照範圍內的一張圖片，而後再作一次快照，以後對兩個快照進行比較，會發現有不少改變，在裏面能夠找到剛剛的操做形成的改變。從下圖能夠看出backdoor.png被打開以後HKEY_CLASSES_ROOT下的一個註冊表就發生了改變。

 實驗體會

此次實驗要求比較簡單，其實我以爲對惡意代碼的分析是比較複雜的，可是此次實驗只是要求作了一個基本系統監控，像是基於行爲的方法來對惡意程序進行一輪最初的篩選。其實惡意代碼分析我以爲能夠作的很深，靜態分析，動態分析都很複雜，須要很好的彙編基礎才行，加上本身對入侵比較有興趣，沒再作更深刻的研究。