20145238-荊玉茗 《網絡對抗技術》惡意代碼分析

20145238荊玉茗-《網絡攻防》-惡意代碼分析

一.實驗後回答問題

（1）監控一個系統一般須要監控什麼、用什麼來監控。

• 能夠監控註冊表信息的增刪、各類應用程序的行爲記錄、網絡鏈接的進程，全部相關的IP地址及端口號。

• 能夠用sysmon監控系統的行爲，在事件日誌裏發現網絡鏈接、異常進程等相關信息；用最簡單的wireshark抓包分析；以及此次使用到的TCPview工具進行TCP鏈接的相關信息。

（2）若是在工做中懷疑一臺主機上有惡意代碼，請設計下你準備如何找到對應進程、惡意代碼相關文件。

• 首先你能夠看一下cpu佔用有沒有異常增高，若是有找到呢個應用進程，用VirScan掃描一下。

• 用Sysmon的事件日誌裏分析，是否有一些假裝成系統文件的應用不在應該在的文件夾，若是是系統文件它應該在System32文件夾。

• 能夠用一些好比TCPview工具檢測一下聯網的進程，同時也可使用wireshark抓包分析。

• 使用專業分析工具好比PE看看是否加殼、分析調用的DLL及其函數用途。

二.實驗總結與體會

• 實驗的體會就是拿到一個惡意代碼、後門程序知道從哪些地方、用哪些手段去分析了。可是畢竟第一次接觸，要想把此次所學的東西用於實踐，還要培養咱們及時檢查電腦狀態這種習慣。最後就是感受是寫過最長的實驗報告哦：（

三.實踐過程記錄

1.GE_Windows計劃任務schtasks

• 在控制面板-管理工具-任務計劃程序中-右邊建立任務

• 輸入相關信息勾選 使用最高權限運行
  

• 進行觸發器編輯
  

• 進行操做編輯
  

• 在文檔中查看網絡鏈接信息（OMG個人愛奇藝怎麼了）
  

2.Sysmon

• 修改配置文件，把可信任聯網的程序都排除在外，記錄遠程建立木馬的行爲。
  

• 在命令提示符中sysinternals目錄下，運行sysmon.exe -i 配置文件所在路徑；
  

• 在eventvwr中能夠查看本身的文件(捕捉了一天事件有不少)
  

• 先分析一下事件ID=1的進程
  

• 經過這張圖片咱們瞭解到這是一個應用程序的日誌信息（ID=1）；其進程ID號如圖所示，相應信息已標明。
• ksysdoct.exe是毒霸安裝包解壓後的文件名，就是正經的殺軟進程。

• 再分析一個事件ID=2的進程
  

• svchost.exe是一個屬於微軟Windows操做系統的系統程序，微軟官方對它的解釋是：Svchost.exe是從動態連接庫(DLL)中運行的服務的通用主機進程名稱。這個程序對系統的正常運行是很是重要，並且是不能被結束的。

• 這個進程是沒有可視窗口的，它也能夠被任何的惡意軟件假裝（尤爲當他們不在目錄c:\windows\system32）如下是一些其餘目錄下的威脅程度
  

（總之在C:\Windows\System32\drivers下就趕快把他刪掉！）

• 還找到一個ID=2的就是正經360瀏覽器
  

• 再看進程ID=3的
  

• OMG又是一個金山毒霸的進程，百度百科說他是一個無威脅的文件是一個無威脅的文件，是一個無威脅的文件，，，，，可是我隨便點了10個ID=3的文件其中有3個都是這個kxetray.exe真的沒有威脅嗎？找了不少資料說會有cpu佔用太高的問題.但它在個人電腦還行。
  

• 這個也是金山的一個彈窗程序，個人天哪。我開了這麼幾個進程基本都是金山的。

• 這兩個均可以看見其使用TCP協議、源IP、目的IP，源端口、目的端口等。若是你以爲他有問題能夠直接百度他的IP，至少位置是能夠立刻看出的。

3.Sys Tracer工具

• 使用該工具進行快照

1.在正常狀況下，咱們在win7虛擬機下快照保存爲Snapshot #1；
2.Kali生成相應的後門，將文件經過ncat傳到win7虛擬機下後快照保存爲Snapshot #2；
3.Kali開啓msf監聽，在win7下運行後門程序後快照保存爲Snapshot #3；
4.Kali對win7虛擬機進行截圖後，在win7下快照保存爲Snapshot #4；
5.Kali對win7進行一些權限操做後，在win7下快照保存爲Snapshot #5.

此時kali的IP爲：192.168.228.128
主機的IP爲：172.30.6.146

• 1&2
  

• 當咱們使用ncat傳輸文件的時候能夠看到新增了虛擬內存文件

• 2&3
  

• OMG不想裝了。個人windows底下沒看見他們的CurrentVersion？？？可是我知道正常狀況下是能夠在CurrentVersion-Explorer-UserAssist的文件夾下的Count看見本身的在運行的後門程序，能夠從這裏看到它修改了註冊表。

• 3&4
  （我忘了第四次是截屏仍是第五次截屏...反正是獲取權限幹了點事）
  

此次能夠正經的看到註冊表發生了變化。

• 4&5
  

（千山萬水...我終於找到了個人後門程序，能夠看到他提出了聯網請求）

4.wireshark

• 在kali方打開監聽的時候開始抓包，能夠看到kali與靶機進行了超多超多超屢次的三次握手，能夠看出端口號5238。

5.Tcpview

• 經過這個軟件能夠看到進行tcp鏈接的進程（有咱們的後門軟件aaa.exe），能夠看到他的進程ID、本地端口、目的IP的信息。
  

6.再補一個惡意代碼靜態分析

• 不想貼圖了，和你們都一毛同樣。經過VirScan軟件文件行爲分析。它會從四個方面進行分析。1.基本信息：有文件類型、版本、還有MD5以及殼或編譯器的信息；2.網絡行爲：有網絡行爲的描述；3.註冊表行爲：註冊表行爲的描述，是否增刪註冊表鍵以及鍵值；4.其餘行爲：檢測自身是否被調試、建立事件對象。