Exp4 惡意代碼分析 20154301仉鑫燁

時間 2019-11-08

標籤 exp4 exp 惡意代碼分析简体版

原文原文鏈接

20154301 Exp4 惡意代碼分析

20154301 仉鑫燁chrome

1、實踐內容

系統運行監控

（1）使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。
（2）安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

惡意軟件分析：分析該軟件在

（1）啓動回連時
（2）安裝到目標機時
（3）其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。該後門軟件shell

讀取、添加、刪除了哪些註冊表項？windows

讀取、添加、刪除了哪些文件？瀏覽器

鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）？安全

2、基礎問題

若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。微信

答：重啓計算機，並對計算機的註冊表，進程，端口，服務等內容進行檢測，並使用抓包軟件進行抓包，經過觀察註冊表，進程等內容的變化篩選出可疑的對象，而後針對可疑的對象在抓包過程當中具體分析，看看有沒有能夠的創建套接字（也就是鏈接其餘IP地址）的可疑操做，觀察能夠對象的流量是否異常，對數據包類型解析看看是否有可疑的內容。||| 方法：①註冊表信息的增添修改刪除。②用來進行網絡鏈接的IP地址端口號。③程序的一系列行爲。④可使用wireshark抓包分析，分析網絡鏈接狀態；查看軟件註冊表信息；使用SysTracer等軟件查看一段時間內系統註冊表信息文件標化狀況，將這些信息錄入excel分析。。網絡
若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。tcp

答：①使用systracer工具，動態分析註冊表修改狀況，分析緣由，這樣作的目的，查看文件修改狀況和端口狀況並分析緣由。②使用Wireshark進行抓包分析，查看該程序傳輸了哪些數據。工具

3、實驗過程

系統運行監控

1. Windows計劃任務schtasks

爲實現每5min記錄下有哪些程序在鏈接網絡，輸入如下命令：
schtasks /create /TN 20154301netstat /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > c:\netstatlog.txt"學習
釋義：TN是TaskName的縮寫，咱們建立的計劃任務名是20154301netstat；sc表示計時方式，咱們以分鐘計時填MINUTE；TR=Task Run，要運行的指令是 netstat -bn,b表示顯示可執行文件名，n表示以數字來顯示IP和端口,MO 表示隔兩分鐘進行一次。
此命令完成後，每五分鐘就會監測哪些程序在使用網絡，並把結果記錄在netstatlog.txt文檔裏，可是不顯示記錄的時間和日期，這可能不便於咱們判斷，要是想顯示日期和時間，咱們能夠經過bat批處理文件來實現。

在C盤要目錄下建一個文件c:\netstatlog.bat（先把後綴設爲txt，保存好內容後把後綴改成bat）

date /t >> c:\netstat4301.txt

time /t >> c:\netstat4301.txt

netstat -bn >> c:\netstat4301.txt
打開控制面板->任務計劃程序，找到咱們的任務20154301netstat
雙擊點開，找到操做，點擊全部項裏的屬性選項：
能夠對任務進行修改：找到操做選項卡，選擇netstatlog.bat腳本。
修改爲功後，顯示：
問題：沒法定時記錄數據，須要打開最高權限。
能夠看到記錄文件netstatlog.txt中的記錄有了時間：
接下來咱們要作的就是等待，等記錄項目夠多了再進行分析。
這裏我選擇用excel進行分析：
打開Excel點擊數據選項卡，在獲取外部數據的方式上選擇來自文本，選擇咱們以前記錄鏈接狀況的文本netstatlog.txt：
選擇分隔符號：
分隔符號所有選上：
列數據格式選擇常規：
點擊完成，在excel中格式見下圖
首先去掉重複值：
最終刪除1872個重複值，肯定19項內容：
分析其用途

進程	應用	用途
[vmware-hostd.exe]	虛擬機	實驗
[vmware-authd.exe]	虛擬機	實驗
[vmware.exe]	虛擬機	實驗
[YoudaoNote.exe]	有道雲筆記	實驗
[WeChat.exe]	微信	嘮嗑
[360tray.exe]	360安全衛士實時監控程序	安全軟件
[360Game.exe]	360遊戲大廳	==???他咋老彈出來==
[WINWORD.EXE]	微軟Microsoft Word的主程序	實驗存圖
[EXCEL.EXE]	微軟Microsoft Excel的主程序	實驗數據分析
DiagTrack	系統負責數據收集和錯誤信息
[svchost.exe]	微軟Windows操做系統的系統程序
[360se.exe]	從動態連接庫 (DLL) 中運行的服務
[SGTool.exe]	搜狗輸入法的加速啓動程序	打字
[360mobilesrv.exe]	360手機助手	==360太流氓了自動上傳數據==
CryptSvc	系統認證服務	微軟公鑰體系PKI

總而言之個人電腦仍是很安全的，可是360的流氓行爲（自動後臺打開360手機助手並偷跑流量）確實經過此次實驗引發了個人注意。

2. Sysmon

明確監控目標
—— 網絡鏈接、驅動加載、遠程線程建立、進程建立、訪問和結束等
sysmon微軟Sysinternals套件中的一個工具，能夠從碼雲項目的附件裏進行下載，要使用sysmon工具先要配置文件，一開始我直接用的是老師給的配置文件,建立配置文件20154301.txt（注：必定要以管理員身份運行）：

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

配置好文件以後，要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令對sysmon進行安裝：
啓動以後，即可以到事件查看器裏查看相應的日誌，在"運行"窗口輸入eventvwr命令（我是直接輸的，這個命令在哪一個目錄輸均可以的），打開應用程序和服務日誌，根據Microsoft->Windows->Sysmon->Operational路徑找到記錄文件：
我查看了其中一部分事件的詳細信息，好比這個事件是以前作計劃任務時所建立的：
例以下面的事件是360安全瀏覽器對文件的建立時間進行了更改，應該也就是更新：
將後門程序放入windows主機，在Kali下進行回連操做：
木馬極可能假裝成電腦自帶的explorer.exe進程
以後，我對Sysmoncfg.txt配置文件進行了修改，重點是監視80和443以及4301端口的聯網狀況

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">SogouExplorer.exe</Image>
</NetworkConnect>

<NetworkConnect onmatch="include">     
  <DestinationPort condition="is">80</DestinationPort>      
  <DestinationPort condition="is">443</DestinationPort>
  <DestinationPort condition="is">4301</DestinationPort>    
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

4301端口
443端口（忘了截圖了）

3. virscan

不知什麼緣由virscan出現一些問題沒法像上屆同窗同樣使用，故我最終選擇使用virustotal。
查看細節信息（我盡力想把它看懂，可是我沒有）

4. systracer

點擊take snapshot來快照，四個快照：1.將惡意軟件植入到目標主機中後；2.惡意軟件啓動回連時；3.惡意軟件執行dir命令進行查看時；4.惡意軟件進行截屏操做時。
比較一、2，咱們能夠看到不少信息，包括IP及端口
惡意軟件執行dir命令時無特殊信息，但在進行截屏操做時註冊表信息有了修改：

5. 聯網狀況分析

在後門程序回連時，在主機的命令行中用netstat -n命令查看TCP鏈接的狀況，能夠發現其中有進行回連的後門程序：

回連時創建tcp鏈接
在後門程序回連時，打開wireshark，進行捕包分析，查看詳細的協議分析發現，後門程序創建了三次握手並回連時進行了基於IP和端口的鏈接

6. Process Monitor

打開Process Monitor就能夠就看到按時間排序的winxp執行的程序的變化，運行一下後門程序4301.exe，再刷新一下Process Monitor的界面，能夠指定查找到程序。

7. PEiD

PEiD是一個經常使用的的查殼工具，能夠分析後門程序是否加了殼。
加殼
不加殼

8. Process Explorer

打開Process Explorer，運行後門程序4301.exe，在Process欄能夠找到4301.exe
雙擊後門程序4301.exe一行，點擊不一樣的頁標籤能夠查看不一樣的信息：
TCP/IP頁簽有程序的鏈接方式、回連IP、端口等信息。
Performance頁簽有程序的CPU、I/O、Handles等相關信息。

4、實驗體會

本次實驗極爲繁瑣，因爲對各類軟件的不熟悉，消耗了不少時間，學長學姐們的報告給了我不少幫助。在實驗中，我掌握了各種分析惡意軟件的方法，也發現了本身電腦中平時沒有關注到的流氓軟件，十分受益。另外在本次實驗的學習過程當中，我對惡意軟件的特徵認識也有了很大的提高，好比篩選能夠對象，查看是否含有創建套接字的能夠操做等等。總之本次實驗雖然麻煩，但收穫良多。