20155318 《網絡攻防》Exp4 惡意代碼分析

時間 2019-11-20

標籤網絡攻防 exp4 exp 惡意代碼分析欄目系統網絡简体版

原文原文鏈接

若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。
- 用sysmon軟件進行監測，它會將運行的程序以日記的方式記錄下來查看有無惡意代碼在運行。
- 可使用systracer註冊表分析方法進行，惡意代碼入侵先後分別拍攝快照。
- 用wireshark抓包的方法，經過查看是否有回連操做找到是否有惡意代碼在運行。
若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。
- 用systracer進行快照對比/在virscan上將懷疑的程序放上去進行掃描

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

保存後修改文件名爲「netstatlog.bat」；
建立過程當中出現以下問題
解決方案以下
運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼。
經分析主要有vmware-authd,vmware,kxescore（金山毒霸的查殺子系統及文件實時監控服務進程）,WeChat,2345Explorer,thunderplatform（迅雷），svchost.exe等等，（怪不得電腦天天這麼慢……）瀏覽器

設置合理的配置文件，監控本身主機的重點事可疑行爲。緩存

sysmon微軟Sysinternals套件中的一個工具，能夠從碼雲項目的附件裏進行下載，要使用sysmon工具配置文件Sysmoncfg.xml
配置好文件以後，使用sysmon -accepteula -i -n和sysmon -c Sysmoncfg.xml進行安裝：
安裝完成以後，看看sysmon是否在運行
打開事件查看器，以下圖：
查看部分事件的詳細信息
臨時文件（APP緩存數據）
使用2345瀏覽器
使用微信
使用kali進行後門回連
sysmon當即捕捉到後門程序的運動
運行dir後，咱們發現了一個很是重要的進程svchost.exe，它是視窗操做系統裏的一個系統進程，管理經過Dll文件啓動服務的其它進程
dllhost.exe是微軟Windows操做系統的一部分。dllhost.exe用於管理DLL應用，是運行COM+的組件,即COM代理,運行Windows中的Web和FTP服務器必須有這個東西。

分析該軟件在(1)啓動回連，(2)安裝到目標機(3)及其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。該後門軟件服務器

（1）讀取、添加、刪除了哪些註冊表項微信

（2）讀取、添加、刪除了哪些文件網絡

（3）鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）tcp

下載安裝Systracer（端口號設置成學號）工具

一開始在目標主機上進行快照保存爲Snapshot #1；
在虛擬機中生成後門軟件，將文件傳到目標主機後快照保存爲Snapshot #2；
在虛擬機開啓監聽的狀況下，在目標主機運行後門程序後快照保存爲Snapshot #3；
進行分析
點擊上方「Applications」->左側「Running Processes」->找到後門進程「5318exp4_backdoor.exe」->點擊「Opened Ports」查看回連地址、遠程地址和端口號：
藍色標註的地方，就是先後發生變化的地方
對比兩個快照
能夠看到第二次兩次快照中增長的部分
新添加的註冊表
觀察其路徑