網絡對抗 Exp4 惡意代碼分析 20154311 王卓然

Exp4 惡意代碼分析

1、實踐目標

1.監控本身系統的運行狀態，看有沒有可疑的程序在運行。

2.分析一個惡意軟件，分析Exp2或Exp3中生成後門軟件。

2、實踐步驟

1.系統運行監控

使用 netstat 定時監控

首先建立一個txt文件，用來將記錄的聯網結果按格式輸出到netstatlog.txt文件中，內容爲：

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

更改後綴名爲bat（批處理文件），右鍵開始菜單打開命令提示符（管理員模式，否則權限不夠）輸入指令 schtasks /create /TN 20154311（任務名） /sc MINUTE /MO 2 /TR "c:\20154311.bat（上面建立的文件） 建立間隔2分鐘的計劃任務。

 

（或者在控制面板版—計劃任務中建立一個觸發器爲」按預約計劃「，重複間隔本身設定，操做中程序選中上面建立的文件的定時任務）。

過一段時間等收集到足夠多的數據後，建立一個excel在數據選項卡中選擇導入數據，選中保存的netstatlog.txt文件，設置使用 分隔符號 ，並勾選所有分隔符號。

單擊數據透視表，選中進程那一列，建立到新的工做表中，把字段拉到行和值中，選爲計數，就獲得各進程的活動數了（注意把不須要統計的行勾掉）。

 

咱們能夠轉化爲柱狀圖，更爲直觀簡潔

沒有能夠進程，個人電腦仍是挺安全的（et.exe是wps表格進程）。

再看看外部網絡鏈接

相比進程多了好多，應該是瀏覽器瀏覽不一樣地址形成的。

 

使用 sysmon 工具監控

首先配置sysmon，建立一個txt文件，輸入配置信息，可根據我的需求增添刪改。

 

管理員模式運行cmd，用cd指令轉到sysmon目錄，輸入指令 sysmon.exe -i 20154311.txt（若是配置文件與sysmon.exe不在同一目錄，須要輸入配置文件的目錄），跳出安裝窗口後贊成完成安裝。

啓動sysmon以後能夠在 右鍵個人電腦——管理——事件查看器——應用程序和服務日誌——Microsoft——Windows——Sysmon——Operational 查看日誌文件。

 

找到了我本身啓動本身製做的後門文件

然而從他給我提供的信息我感受並看不出來有啥不同的，並不知道如何斷定爲後門文件，就有一點它的PARENTIMAGE（源鏡像？）那一欄寫的是explorer.exe（程序管理和文件資源管理程序，沒了他就沒桌面了）和sysmon自己同樣，百度了一下explorer是不少病毒喜歡假裝或感染的對象，可能個人後門程序主要就是經過explorer來達到控制的目的的吧。

添加端口號、進程建立、文件建立時間的監察，使用指令 sysmon.exe -c 20154311.txt 更新配置

 

除了本身的後門文件外，並無其餘的可疑進程，safe?!。

2.惡意代碼分析

使用virscan分析惡意軟件

在virscan網站上對上次實驗中C語言調用shellcode直接編譯的後門文件作行爲分析

 

能夠看到攻擊方主機的部分IP及端口號，且說明了有刪除註冊表鍵和鍵值、檢測自身是否被調試以及建立事件對象的行爲。（仍是能夠的）。

使用SysTracer分析惡意軟件

使用systracer工具創建4個快照，分別爲：

  snapshot#1 後門程序啓動前，系統正常狀態

  snapshot#2 啓動後門回連Linux

  snapshot#3 Linux控制windows在其D盤目錄下建立一個文件

  snapshot#4 關掉後門，斷開鏈接後，主機狀態

先對比下1，2兩種狀況

把Only differences勾上，這樣會只顯示先後兩種狀態更改的內容，更方便咱們查看。

 

能夠看到打開後門後修改了以上三項註冊表的內容，在應用（Application）——打開端口（Opened Ports）中能看到後門程序回連的IP和端口號。

接着對比下2，3兩種狀況

在原來的基礎上原來的三個註冊表都有修改，還多修改了一項HKEY_CLASSES_ROOT

增長了一個文件，就是咱們操做建立的。

文件內容也和咱們編寫的同樣（不過個人回車被吃了...）。

接着對比下三、4兩種狀況

 

註冊表還有改動，難道是爲了掩飾又改回去了？（變更太多，也看不太懂）其餘的卻是沒什麼差異。

使用PEiD分析惡意軟件

使用PEiD軟件能夠查看惡意軟件的殼的相關信息，以及其所使用的編譯器版本，我用上次實驗upx加殼生成的後門文件爲樣本檢測。

加殼信息一目瞭然，好廢啊~~加殼~~。

使用Process Monitor分析惡意軟件

 啓動後會抓到很是多的進程數據，能夠點出工具——進程樹便利查看，多了堆棧信息，然而好像其餘的具體內容很少。

不過能看出個人後門程序運行起來後確實與explorer.exe有很大的關係

在進程樹中找到後門進程右鍵轉到事件，能夠在主窗口中找到程序，能直接看到回連的IP地址和端口號然而此次IP地址沒顯示，顯示爲bogon，百度了下說是不應出如今路由表中的地址，出現了則說明被攻擊了或被蹭~網~了，有趣，總之有出現的話就當心點。

在進程信息中的模塊裏找到 advapi32.dll 百度說是包含函數與對象的安全性、註冊表的操控以及與事件日誌有關，仍是很重要的一個dll文件，一個無關程序莫名與其掛鉤，就很值得引發咱們懷疑。

使用Process Explorer分析惡意軟件

 打開process explorer後，接着運行後門程序回連，發現個人後門程序以紫色高亮身份顯示（莫不是被查出來了？！）

雙擊點開進程，在TCP/IP選項卡中能夠看到回連的Linux的IP地址和端口。

使用TCPView工具分析惡意軟件

後門運行時直接打開 tcpview 工具，能夠直接找到後門進程

能夠直接看到後門程序鏈接的IP地址及端口號。

3、實驗後問題回答

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

         答：①能夠經過設置定時計劃任務，使用 netstat 指令將主機中的網絡鏈接活動跡象都記錄下來，逐一篩選

                ②可使用sysmon工具，有選擇的編寫配置文件，將主機中各個進程的活動記錄下來，能更加省時省力。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

         答：①可使用systracer工具，對比進程運行先後，系統中的變化狀況，從而得知它的行爲活動信息。

                ②可使用process explorer工具，查看該進程的網絡鏈接狀況，以及線程、執行等信息。

4、實驗心得與體會

          此次實驗主要是須要學會看懂各個監控，分析工具中數據的表明意義，纔能有效的分析和判斷出是否爲惡意程序，工具的使用自己倒不難，然而這些數據卻也恰恰就是最大的難題，須要咱們多查多理解，固然同時也對咱們大有裨益。