20155204 王昊《網絡對抗技術》EXP4

20155204 王昊《網絡對抗技術》EXP4

1、實驗後回答問題

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

• 用schtasks指令監控系統的聯網記錄。
• 用sysmon查看進程信息。
• 用wireshark抓取網絡鏈接包，能夠看到與誰進行了通訊。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

• 使用Process Explorer分析惡意軟件的基本信息以及依賴的dll庫。
• 使用virscan、virustotal分析惡意軟件的危險程度以及行爲。

2、實驗總結與體會

此次實驗是告訴咱們如何分析惡意代碼，讓咱們學到如何發現並分析惡意代碼的惡意，頗有用。此次用到了許多工具，剛開始作實驗仍是本着學會這些工具去的，用完以後看看老師的要求才發現這等於沒作啊，這纔看着截圖來學分析，不得不說仍是分析更有意義些。

3、實踐過程記錄

使用schtasks指令監控系統運行

1.先在C盤目錄下創建一個netstatlog.bat文件，用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中.
2.netstatlog.bat內容爲：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

3.打開cmd輸入schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat"，命令會建立一個任務每隔五分鐘記錄計算機聯網。

4.過一段時間能夠看到txt文件中的記錄。
[] (https://images2018.cnblogs.com/blog/1071529/201804/1071529-20180418143655792-781796717.png)

使用sysmon工具監控系統運行

1.在網上下載了sysmon的7.01版本，而後配置文件以下：

<Sysmon schemaversion="7.01">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">YoudaoNote.exe</Image>
  <Image condition="end with">UCBrowser.exe</Image>
  <Image condition="end with">WeChat.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

2.使用sysmon -accepteula –i指令對sysmon進行安裝。
3.啓動後門程序後，用事件查看器能夠查看相應日誌。

使用virscan、virustotal分析惡意軟件

1.掃描剛剛的後門程序，能夠看到行爲分析以及查毒。

• virscan掃描
  
  
• virustotal
  
  

使用systracer工具分析惡意軟件

1.使用systracer工具創建了4個快照，分別是在主機中沒有惡意軟件時、將惡意軟件植入到目標主機中後、惡意軟件啓動回連時、使用惡意軟件獲取目標主機權限時：
2.1、二相比較沒有找到個人後門程序www.exe，我是直接從虛擬中把文件拖了出來，不知道有沒有影響。

3.2、三比較找到了這個程序，註冊表有變化

4.3、四比較則找到了這個程序調用主機端口、添加註冊信息的痕跡。

• 具體分析
• wow64cpu.dll、wow64win.dll：來自Microsoft Corporation。它能夠被髮如今C:\位置。這是一個潛在的安全風險，它能被病毒惡意修改。
  ：同上。
• ntdll.dll：描述了windows本地NTAPI的接口。當Windows啓動時，ntdll.dll就駐留在內存中特定的寫保護區域，使別的程序沒法佔用這個內存區域。參考20145326馮佳學姐的說法，才明白後門程序是調用了ntdll.dll中的函數實現的。ntdll.dll中的函數使用SYSENTRY進入ring0，也就是最高級別的權限。十分危險。

使用wireshark分析惡意軟件回連狀況

1.設置過濾規則找到後門程序回連的過程，發現其三次握手以及數據通訊過程。

使用Process Explorer分析惡意軟件

1.在虛擬機下經過PE explorer打開文件20145236_backdoor.exe，能夠查看PE文件編譯的一些基本信息，導入導出表等。
以下圖，能夠看到該文件的編譯時間、連接器等基本信息：

2.以下圖，點擊「導入表」，能夠查看該文件依賴的dll庫：

• 具體分析;
• WSOCK32.dll和WS2_32.dll，是用來建立套接字的dll庫。掃描程序能夠根據程序功能描述和這個庫相匹配來獲得程序是否有計劃外的聯網行爲。
• ADVAPI32.dll庫百度可知：是一個高級API應用程序接口服務庫的一部分，包含的函數與對象的安全性，註冊表的操控以及事件日誌有關。這個屬於惡意代碼的標誌吧，動不動就要操做註冊表，確定有問題。 另外2個不作過多介紹，屬於通常程序在win下都會調用的dll庫。