20145211黃志遠 《網絡對抗技術》 惡意代碼分析
實驗原理
惡意代碼
- 惡意代碼(Unwanted Code)是指沒有做用卻會帶來危險的代碼,一個最安全的定義是把全部沒必要要的代碼都看做是惡意的,沒必要要代碼比惡意代碼具備更寬泛的含義,包括全部可能與某個組織安全策略相沖突的軟件。
- 特徵:
- 有些惡做劇程序或者遊戲程序不能看做是惡意代碼。對濾過性病毒的特徵進行討論的文獻不少,儘管它們數量不少,可是機理比較近似,在防病毒程序的防禦範圍以內,更值得注意的是非濾過性病毒。
惡意代碼分析
- 靜態分析:在惡意代碼沒有運行的狀況下對其進行分析
- 動態分析:經過惡意代碼運行後,對電腦註冊表等信息的改變進行分析,肯定其行爲,對其進行定性分析。
基礎問題回答
- 總結一下監控一個系統一般須要監控什麼、用什麼來監控。
- 一般對一個系統的註冊表,開放端口,進程運行情況,開啓的服務等
- 一般使用一些軟件來讀取系統的註冊表等。
- 若是在工做中懷疑一臺主機上有惡意代碼,請設計下你準備如何找到對應進程、惡意代碼相關文件。
- 首先斷網,以防止惡意軟件形成進一步的傷害。接着並對計算機的註冊表,進程,端口,服務等內容進行檢測,並觀察後臺運行的進程有沒有比較奇怪的。
- 而後開啓一邁克咖啡波全盤掃描,我相信收錢的軟件。
實驗總結與體會
惡意代碼的分析有不少方法,也有不少與之匹配的軟件,有些軟件仍是至關好用的,不過有一些則是一個難度的提高,須要對系統知識具備充分的掌握,並在實踐中摸索出更多方法
- 作這些分析實驗,須要耐得住寂寞,有一些細節一不注意,就可致使最後功虧一簣,舉個例子,我在新建監視任務時,沒有勾選最高權限,致使個人cmd窗口每次都會跳出決絕訪問,其實,我知道是權限不夠的緣由,可是我覺得是要在訪問控制組裏添加everyone,但發現已經添加了,後來又重加了幾個dog,才發現沒看到下面的選項,真的是雪崩。。
- 最後,這些惡意代碼分析實驗都是爲了之後能更好的看管本身的電腦,我如今是在虛擬機裏運行的,由於註冊表少,方便,還有就是個人c盤沒有幾個g了;不過,之後仍是得在本機上運行,這樣才能學以至用。否則就只在雲端起舞,而不在地面步行了。
實踐過程記錄
經過VirScan網站的行爲分析來分析惡意代碼:
準備工做:隨便抓取了一個wueryiyi.exe,這個網站仍是至關全面的,它主要是基於特徵庫的檢查匹配。shell
-
檢測一波小程序

- 點擊「文件行爲分析」,能夠詳細地察看是否有敏感行爲,能夠發現該文件會有網絡鏈接的行爲,自行刪除註冊表鍵值的行爲
PE explorer
準備工做:將wueryiyi.exe拖拽到PE explorer的窗口,先查看一波基本信息;windows
- 能夠看見kali在2009年的時候就有了該後門程序的生成



- Windows中有3個很是重要的底層DLL:Kernel32.dll、User32.dll、GDI32.dll。其中Kernel32.dll顧名思義就是內核相關的功能,主要包含用於管理內存、進程和線程的函數;這個後門程序要調用內核,顯然不是什麼好東西。
WSOCK32.dll
和WS2_32.dll
,是用來建立套接字的dll庫,這顯然是是想反彈端口鏈接啊!
- ADVAPI32.dll庫是用來給應用程序記錄註冊表的操控和日誌的,憋說話,惡意代碼,鑑定完畢。
PEiD查殼一般狀況下,只有那些爲了保護自身軟件版權的,纔會加殼防止被反編譯,通常小程序是不會加殼的,沒有必要。
竟然什麼都沒找到,覺得沒有加殼,具體查看一下編譯器
瀏覽器
Dependency Walker
- 進擊的巨人,他和PE explorer有許多類似之處,都是用來分析函數依賴的,不過各有千秋

- 驚人的發現,他能夠對註冊表進行肆意的刪改,簡直了。
惡意代碼動態分析
SysTracer






- 獲取shell以後,又新添了4個開放端口;並且在cmd中添加了本身的權限,在windows下新建了本身的文件夾


wireshake
- 對回連過程進行抓包,設置過濾條件ip.addr==192.168.207.133


- 這裏有一點須要注意的是,必定要勾選最高權限,我一開始任務運行的時候,老是由於cmd不是以管理員身份運行的致使拒絕訪問,我知道是權限的緣由,找了半天,發現這下面還有一個最高權限運行,真的是……


-
檢查一下log網站

- 由於是虛擬機,主要就是瀏覽器一類的軟件了,固然還有和本機的鏈接,127.0.0.1

- 不太懂81.161.59.90是什麼ip,查了一下,羅馬尼亞……