20145210姚思羽《網絡對抗技術》 惡意代碼分析

20145210姚思羽《網絡對抗技術》 惡意代碼分析

實驗後回答問題

1.若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

（1）使用計算機自帶的schtasks指令動態監控系統運行

（2）使用sysmon工具動態監控系統運行

（3）使用wireshark抓包檢測流量等進行分析

（4）使用PE Explore分析惡意軟件裏的內容

2.若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

（1）使用systracer工具進行快照分析註冊表信息、文件行爲等信息的變化

（2）在惡意代碼檢測網站上檢測查看行爲報告

（3）使用wireshark檢測這個程序聯網時進行的操做

實驗總結與體會

本次實驗對本身的主機小小的監控了一下，發現有一些惡意代碼殺軟真的檢測不出，一些程序真的是默默地在計算機裏搞一些事情，甚至我都沒有開機他就開始運行，之後對於本身的計算機不能徹底依靠殺軟，仍是要利用已有的一些工具進行監控分析

實踐過程記錄

惡意代碼動態分析

1、使用schtasks指令監控系統運行

1.創建netstatlog.bat文件，用於記錄聯網內容，文件內容以下：

date /t >> d:\netstatlog.txt
time /t >> d:\netstatlog.txt
netstat -bn >> d:\netstatlog.txt

2.在命令行中輸入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "d:\netstatlog.bat"建立任務，每隔兩分鐘記錄聯網內容

3.打開netstatlog.txt文件查看記錄內容，剛開始打開的時候出現如下問題：

多是權限不夠，設置爲以管理員身份運行以後成功完成聯網記錄，目前看到的是關閉了與211.136.25.211的鏈接，並與三個網絡創建鏈接

2、使用sysmon工具監控系統運行

1.下載、配置並安裝sysmon

2.啓動以後能夠在事件查看器中查看到相應的日誌

3.看了一些具體的日誌內容，找到了啓動sysmon.exe的事件

4.找到了一個可疑事件，360衛士在我沒有打開電腦的時候作了一些事情

3、使用SysTracer工具分析惡意軟件

1.使用SysTracer工具創建如下五個快照：

1.一開始在目標主機上進行快照保存爲Snapshot #1；
2.在虛擬機中生成後門軟件，將文件傳到目標主機後快照保存爲Snapshot #2；
3.在虛擬機開啓監聽的狀況下，在目標主機運行後門程序後快照保存爲Snapshot #3；
4.在虛擬機對目標主機進行截圖後在目標主機中快照保存爲Snapshot #4；
5.在虛擬機獲取目標主機攝像頭後在目標主機快照保存爲Snapshot #5.

2.快照結果比對分析：

（1）快照1和快照2：

能夠看到在ncat文件夾下多了咱們傳輸的fool_5210.exe：

也能夠看到在傳輸過程當中有網絡訴求

（2）快照2和快照3：

成功回連以後發現增長了一個註冊表鍵

（3）快照3和快照4：

註冊表信息又有變化

（4）快照4和快照5：

獲取目標主機攝像頭後快照發現傳輸過來的程序有網絡訴求

4、使用wireshark分析惡意代碼文件傳輸狀況

1.經過虛擬機向目標主機發送惡意代碼，使用wireshark進行抓包，咱們抓到了虛擬機與主機的三次握手包

2.創建鏈接以後開始傳輸文件，圖中[FIN,ACK]的包就是傳輸的數據包

3.具體看一下數據包的內容，這個包是從虛擬機發到主機的，端口是5210，使用IPv4協議

4.wireshark還捕捉到個人虛擬機和其餘IP地址的鏈接

惡意代碼靜態分析

1、使用virscan分析惡意軟件

1.在病毒分析網站上分析以前咱們本身生成的後門程序

（1）發現有21/39的殺軟可以查殺到這個惡意代碼

（2）這個代碼由PACKER:UPolyX v0.5加的殼

（3）它能創建到一個指定的套接字鏈接，而且能刪除註冊表鍵和註冊表鍵值

2、使用PE Explore分析惡意軟件

1.使用PE Explore打開可執行文件，能夠看出文件的編譯時間是2009年8月1日16：20：59，連接器版本號爲6.0

2.看一下這個文件的導入表中包含的dll文件：

（1）ADVAPI32.dll可實現對註冊表的操控

（2）WSOCK32.dll和WS2_32.dll用於建立套接字

，