20165309 《網絡對抗技術》實驗四:惡意代碼分析

時間  2019-11-26
標籤 網絡對抗技術 實驗 惡意代碼 分析 欄目 系統網絡 简体版
原文   原文鏈接

20165309 《網絡對抗技術》實驗四:惡意代碼分析

1.基礎問題回答

(1)若是在工做中懷疑一臺主機上有惡意代碼,但只是猜測,全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些,用什麼方法來監控。

  • 我認爲須要監控端口鏈接狀況、註冊表信息和文件信息。
  • 像實驗中的操做同樣,可使用wireshark抓包分析,分析網絡鏈接狀態;查看軟件註冊表信息;使用Systracer或者sysmon等軟件查看一段時間內系統事件、註冊表信息文件變化狀況,將這些信息錄入excel中分析。

(2)若是已經肯定是某個程序或進程有問題,你有什麼工具能夠進一步獲得它的哪些信息。

  • 能夠用Systracer分析註冊表差別和文件的不一樣;
  • 能夠用wireshark查看數據包,查找可疑的數據鏈接;
  • 還能夠用virscan、Threatbook等軟件分析工具來獲得各類殺軟報毒的疑似病毒,以及獲得一些可疑簽名、靜態信息等。

返回目錄html

2.實驗總結與體會

(1)遇到的問題與解決

  • 問題:安裝和配置sysmon時,如圖報錯:

  • 解決:採用一鍵安裝的方式迷之解決圖一。圖二是由於編寫設置文件用來設置sysmon監視的內容時,語法與XML文件很類似,可是我首次接觸學習起來還有一些困難,不得不編寫比較多的次數才能作到不出錯,不當心犯下的錯誤要用細心解決纔是。

(2)實驗感覺

經過分析惡意代碼,我對前幾回的實驗也有了更多的認識與理解,咱們不該該再依賴殺軟,而是應該多去利用所學的知識進行分析。在對系統進行監控的期間,發現了一些流氓軟件會自動鏈接網絡,不只佔內存還會給電腦運行形成一些沒必要要的麻煩,因此仍是手動關掉的比較好~chrome

返回目錄shell

3.實踐過程記錄

(1)系統運行監控

① Windows計劃任務schtasks
  • 在c盤建立一個.txt文件,輸入如下內容後另存爲.bat文件(這裏至關於規定了自動生成的內容要存放在txt文件中):
    date /t >> c:\20165309.txt time /t >> c:\20165309.txt netstat -bn >> c:\20165309.txt
  • 在windows命令行下輸入命令:schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "c:\20165309.bat",創建名爲netstat,以分鐘計時的記錄計算機聯網狀況的任務。
  • 進入「任務計劃程序」,雙擊打開任務netstat,進入「屬性」中的「操做」,編輯操做,在「程序或腳本」中添加剛剛建立的bat文件。

  • 查看txt文件,此時已經有了記錄:
  • 若是txt中並非每分鐘更新一次,是由於設置時默認選擇「只有計算機使用交流電源時才啓用此任務」了,因此咱們要在netstat任務屬性的設置中取消選中該選項:
  • 十多個小時後,將文本數據導入到excel中,進行統計和分析:

    Emmmm我是零點左右開始監控的,直到次日的下午,能夠看出來,我電腦上的程序們都很「活躍」。。統計顯示,前三名分別是YoudaoNote即有道雲筆記、SearchUI(百度後得知這是小娜(Cortana)的搜索進程)和vmware-hosted。
  • 由於實驗中途屢次用到了有道雲筆記和虛擬機,因此我重點來分析一下小娜的活動:它鏈接的比較多的外部IP是40.100.54.210,查詢一下這個IP,不難推斷出,它是在不斷地向微軟數據中心傳送數據:

    searchUI比較佔用進程,咱們能夠參考網址http://www.xitongzu.com/jc/1588.html進行關閉。
  • 再分析了對外的鏈接狀況,但看到最多的是127.0.0.1即本機地址,後來通過查詢得知,127.0.0.1 是綁定在 loopback 接口上的地址,若是服務端套接字綁定在它上面,你的客戶端程序就只能在本機訪問。

② sysmon
  • Sysmon是Sysinternals工具集裏面一個重要工具,最主要的功能就是能夠經過自定記錄規則進行系統運行的監控,語法結構與HTML一致,在老師配置文件的基礎上我修改了一份本身的配置文件。
<Sysmon schemaversion="3.10">
   <!-- Capture all hashes -->
   <HashAlgorithms>*</HashAlgorithms>
   <EventFiltering>
   <!-- Log all drivers except if the signature -->
   <!-- contains Microsoft or Windows -->
   <DriverLoad onmatch="exclude">
    <Signature condition="contains">microsoft</Signature>
    <Signature condition="contains">windows</Signature>
   </DriverLoad>

   <NetworkConnect onmatch="exclude">
    <Image condition="end with">chrome.exe</Image>
   </NetworkConnect>

   <NetworkConnect onmatch="include">     
   <DestinationPort condition="is">80</DestinationPort>      
   <DestinationPort condition="is">443</DestinationPort>
   <DestinationPort condition="is">5309</DestinationPort>    
   </NetworkConnect>

   <CreateRemoteThread onmatch="include">
    <TargetImage condition="end with">explorer.exe</TargetImage>
   <TargetImage condition="end with">svchost.exe</TargetImage>
   <TargetImage condition="end with">winlogon.exe</TargetImage>
    <SourceImage condition="end with">powershell.exe</SourceImage>
   </CreateRemoteThread>
    </EventFiltering>
   </Sysmon>
  • 下載老師給的壓縮包,而後使用命令:sysmon -accepteula -i -n一鍵安裝:
  • 指定配置文件,命令如圖:
  • 打開事件查看器,在左側控制檯樹依次展開:事件查看器->應用程序和服務日誌->Microsoft->Windows,找到Sysmon下的Operational並雙擊打開:
  • 利用Sysmon具體分析實驗二中生成的後門5309_backdoor.exe:
    • 啓動回連、安裝到目標主機:

      可找到運行後門5309_backdoor.exe相對應的日誌以下:

      Kali攻擊機用meterpreter回連,咱們能夠看到鏈接的詳細信息,包括IP、端口、主機名等。
  • 意外看到了熟悉的微信,有些好奇它要去哪,因此看一下此時的詳細信息:

    好吧。。山東省移動↓

(2)惡意軟件分析

Systracer
  • 安裝完成後,在打開後門前先快照一下,點擊「take snapshot」,Snapshop #1:
  • Kali打開msfconsole,完成相關設置後開始監聽,Windows運行後門後,拍攝快照:
  • 使用ctrl選擇快照1和快照2,點擊右下角compare,進行快照之間的比對(只查看不一樣):
    • 註冊表的變化:
    • 進程的變換,最大的變化是新增了5309_backdoor.exe,咱們還能夠對比鏈接方式:
    • 文件數據的變化:
  • 而後在Sysinternals工具包中分析該後門:

使用Process Monitor分析惡意軟件
  • 同屬於Sysinternals工具集主要是對於進程進行的分析,而且可以以進程樹的形式分析每個進程的行爲。剛開始分析就看到了一個很奇怪的東西ctf...

    然而咱們在查看進程管理器並發現它的所在地後,即便修改了權限也並不能刪掉...只能讓它時時刻刻佔用着內存,我應該反思一下當時爲何要在本身主機裏裝ctf了。。

返回目錄windows

相關文章
相關標籤/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公眾號
   歡迎關注本站公眾號,獲取更多信息
聯繫我們 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程