20145211黃志遠 《網絡對抗技術》 惡意代碼分析

20145211黃志遠 《網絡對抗技術》 惡意代碼分析

實驗原理

惡意代碼

• 惡意代碼（Unwanted Code）是指沒有做用卻會帶來危險的代碼，一個最安全的定義是把全部沒必要要的代碼都看做是惡意的，沒必要要代碼比惡意代碼具備更寬泛的含義，包括全部可能與某個組織安全策略相沖突的軟件。
• 特徵：
  •  惡意的目的
  •  自己是計算機程序
  •  經過執行發生做用
• 有些惡做劇程序或者遊戲程序不能看做是惡意代碼。對濾過性病毒的特徵進行討論的文獻不少，儘管它們數量不少，可是機理比較近似，在防病毒程序的防禦範圍以內，更值得注意的是非濾過性病毒。

惡意代碼分析

• 靜態分析：在惡意代碼沒有運行的狀況下對其進行分析
• 動態分析：經過惡意代碼運行後，對電腦註冊表等信息的改變進行分析，肯定其行爲，對其進行定性分析。

 

基礎問題回答

• 總結一下監控一個系統一般須要監控什麼、用什麼來監控。
  • 一般對一個系統的註冊表，開放端口，進程運行情況，開啓的服務等
  • 一般使用一些軟件來讀取系統的註冊表等。
• 若是在工做中懷疑一臺主機上有惡意代碼，請設計下你準備如何找到對應進程、惡意代碼相關文件。
  • 首先斷網，以防止惡意軟件形成進一步的傷害。接着並對計算機的註冊表，進程，端口，服務等內容進行檢測，並觀察後臺運行的進程有沒有比較奇怪的。
  • 而後開啓一邁克咖啡波全盤掃描，我相信收錢的軟件。

實驗總結與體會

• 惡意代碼的分析有不少方法，也有不少與之匹配的軟件，有些軟件仍是至關好用的，不過有一些則是一個難度的提高，須要對系統知識具備充分的掌握，並在實踐中摸索出更多方法
• 作這些分析實驗，須要耐得住寂寞，有一些細節一不注意，就可致使最後功虧一簣，舉個例子，我在新建監視任務時，沒有勾選最高權限，致使個人cmd窗口每次都會跳出決絕訪問，其實，我知道是權限不夠的緣由，可是我覺得是要在訪問控制組裏添加everyone，但發現已經添加了，後來又重加了幾個dog，才發現沒看到下面的選項，真的是雪崩。。
• 最後，這些惡意代碼分析實驗都是爲了之後能更好的看管本身的電腦，我如今是在虛擬機裏運行的，由於註冊表少，方便，還有就是個人c盤沒有幾個g了；不過，之後仍是得在本機上運行，這樣才能學以至用。否則就只在雲端起舞，而不在地面步行了。

 

實踐過程記錄

經過VirScan網站的行爲分析來分析惡意代碼：

準備工做：隨便抓取了一個wueryiyi.exe,這個網站仍是至關全面的，它主要是基於特徵庫的檢查匹配。

• 檢測一波

• 點擊「文件行爲分析」，能夠詳細地察看是否有敏感行爲，能夠發現該文件會有網絡鏈接的行爲，自行刪除註冊表鍵值的行爲

   

PE explorer

準備工做：將wueryiyi.exe拖拽到PE explorer的窗口，先查看一波基本信息；

• 能夠看見kali在2009年的時候就有了該後門程序的生成

 

 

• 打開引入表查看一些具體信息，主要是函數的依賴

 

• Windows中有3個很是重要的底層DLL:Kernel32.dll、User32.dll、GDI32.dll。其中Kernel32.dll顧名思義就是內核相關的功能，主要包含用於管理內存、進程和線程的函數；這個後門程序要調用內核，顯然不是什麼好東西。
• WSOCK32.dll和WS2_32.dll，是用來建立套接字的dll庫，這顯然是是想反彈端口鏈接啊！
• ADVAPI32.dll庫是用來給應用程序記錄註冊表的操控和日誌的，憋說話，惡意代碼，鑑定完畢。

PEiD查殼一般狀況下，只有那些爲了保護自身軟件版權的，纔會加殼防止被反編譯，通常小程序是不會加殼的，沒有必要。

 

竟然什麼都沒找到，覺得沒有加殼，具體查看一下編譯器

 

•  UPX啊，行了，壓縮殼的。
  

 

Dependency Walker

• 進擊的巨人，他和PE explorer有許多類似之處，都是用來分析函數依賴的，不過各有千秋

 

 

•  驚人的發現，他能夠對註冊表進行肆意的刪改，簡直了。

 

 

惡意代碼動態分析

SysTracer

• 使用上次免殺實驗裏，用c寫的shellcode，在回連成功的狀況下進行監聽。

•  首先在開啓後門以前，使用SysTracer進行一次快照，方便以後對比

• 接着在回連成功以後進行第二次快照；
• 而後在kali攻擊機中分別對靶機進行截圖和獲取shell，並分別進行快照
• 將四次快照對比。
• 將回連成功後的快照與以前的快照比對，能夠發現註冊表有了變化，新添加了一個表項，並且新添了一個開放端口80，用來回連的

• 截屏以後發生的變化，註冊表進一步發生了變化，且新增了一個key；還刪除了本身的兩個記錄

 

 

 

 

• 獲取shell以後，又新添了4個開放端口；並且在cmd中添加了本身的權限，在windows下新建了本身的文件夾

 

wireshake

• 對回連過程進行抓包，設置過濾條件ip.addr==192.168.207.133

• watch看到靶機與攻擊機創建的三次握手鍊接，還有大量的TCP鏈接數據包
• 對sreenshot和shell過程進行抓包，不過對抓到的具體包並非很瞭解

• 安裝並使用Sysmon

•  右鍵管理員cmd,輕車熟路，以前，常常在Windows命令行下編譯運行c代碼，不過得用管理員權限。

• 配置一下文件，我以爲就用老師那個配置文件挺好的啊，版本號都給對了
• 查看一下事件數，簡直爆炸
• 那就過濾一下
• 一開始還覺得是啥奧迪……
• 被他發現是虛擬機裏的win10了

• 設置任務計劃

• 寫一個watchdog腳本，天天看一波門

• 這裏有一點須要注意的是，必定要勾選最高權限，我一開始任務運行的時候，老是由於cmd不是以管理員身份運行的致使拒絕訪問，我知道是權限的緣由，找了半天，發現這下面還有一個最高權限運行，真的是……

• 最後查看一任務

• 檢查一下log

• 由於是虛擬機，主要就是瀏覽器一類的軟件了，固然還有和本機的鏈接，127.0.0.1
• 不太懂81.161.59.90是什麼ip，查了一下，羅馬尼亞……