20145324王嘉瀾《網絡對抗技術》惡意代碼分析

實驗內容

•schtasks、Sysmon對電腦進行系統檢測，並分析
•對惡意軟件進行靜態分析，直接上傳到網上，或者利用pe explore等軟件
•對惡意軟件進行動態分析，使用systracer，以及wireshark分析

實驗問答

•一、若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。
用主機自帶的schtasks，或者下載Sysmon，就是實驗作的那些東西來監控

•二、若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。
wireshark抓包分析，systracer查看註冊表信息

實驗總結與體會

再一次刷新了惡意代碼在我心中的地位，他們居然能夠悄無聲息地在電腦裏運行着。而後一些不知名的程序也在悄悄地運行着，拉低了我電腦的速度，怪不得會卡到爆炸

還有就是此次試驗太坑了，作的時候真的是讓人心累，只能慶幸本身不是小組長和課題負責人

實踐過程記錄

使用schtasks指令監控系統運行

•建立計劃任務 "netstat"

•在c盤目錄下查看netstatlog.txt的內容看有哪些進程在聯網
而後有趣的事情發生了，我C盤裏沒有這個txt
而後我找到那個EXE打開發現是在監聽的

而後同窗告訴我能夠輸netstat -an >> c:\xxx.txt建一個txt
而後真的有但是看不見進程的名字

因而我就很心累，借了同窗的電腦作了一次
而後成功了

•在命令行中輸入下列命令，就能夠看見netstatlog.txt文件輸出中的時間

•而後在點擊開始輸入「任務計劃」打開任務計劃程序的圖形界面，在任務計劃程序庫中能夠找到咱們創建的netstat，在該任務下點擊屬性，編輯操做，將"cmd /c netstat -bn > c:\netstatlog.txt"替換爲「c:\netstatlog.bat」，成功後再次打開c盤下的netstatlog.txt,就能夠看見新加了時間


•結果以下

•查看聯網的程序

使用sysmon工具監控系統運行

•在D盤創建文件Sysmoncfg.txt，並輸入老師給的內容
•在命令行中輸入：Sysmon.exe -i D:\Sysmoncfg.txt

•打開「應用程序和服務日誌->Microsoft->Windows->Sysmon->Operational」,以查看所獲得的消息

•點擊事件屬性能夠看到詳細信息

使用virscan對惡意軟件進行靜態分析

•上傳木馬到網站，獲得具體的內容信息包括註冊表行爲的改變，鏈接到具體的套接字等

使用PE explorer對惡意軟件進行靜態分析

•木馬文件各個屬性值

•各個section的屬性值

•反彙編結果（看不懂）

•調用的動態連接庫文件

使用systracer對惡意軟件進行動態分析

•1：打開攻擊機msfconsle，開放監聽，在主機下對註冊表、文件、應用狀況進行快照，保存爲Snapshot #1
•2：主機上下打開木馬，回連kali，在主機下再次快照，保存爲Snapshot #2

•3：kali中經過msf發送文件給主機，在主機下再次快照，保存爲Snapshot #3

•4：kali中對win10靶機進行屏幕截圖，win10下再次快照，保存爲Snapshot #4
•快照結果

•啓動回連時註冊表發生變化

•啓動回連時，新建了新的應用

使用wireshark對惡意軟件進行靜態分析

•設置IP過濾格式：ip.src==192.168.88.129 or ip.dst==192.168.88.129捕捉靶機回連kali時經過TCP的三次握手協議過程
•設置IP過濾格式：ip.src==192.168.88.129 and ip.dst==172.39.5.7捕捉靶機kali向虛擬機win7發送文件的數據包
可是我並無捕捉到任何上訴兩種中的一個包
心是累的

懼怕本身沒有回連成功，又從新作了一次，同樣的結果

捕獲了一堆沒用的包
結果然是男默女淚 愉快地結束了實驗 須要看一下子小哥哥才能夠撫平心裏的創傷