20145211黃志遠 《網絡對抗技術》 惡意代碼分析

20145211黃志遠 《網絡對抗技術》 惡意代碼分析

實驗原理

惡意代碼

  • 惡意代碼(Unwanted Code)是指沒有做用卻會帶來危險的代碼,一個最安全的定義是把全部沒必要要的代碼都看做是惡意的,沒必要要代碼比惡意代碼具備更寬泛的含義,包括全部可能與某個組織安全策略相沖突的軟件。
  • 特徵:
    •  惡意的目的
    •  自己是計算機程序
    •  經過執行發生做用
  • 有些惡做劇程序或者遊戲程序不能看做是惡意代碼。對濾過性病毒的特徵進行討論的文獻不少,儘管它們數量不少,可是機理比較近似,在防病毒程序的防禦範圍以內,更值得注意的是非濾過性病毒。

惡意代碼分析

  • 靜態分析:在惡意代碼沒有運行的狀況下對其進行分析
  • 動態分析:經過惡意代碼運行後,對電腦註冊表等信息的改變進行分析,肯定其行爲,對其進行定性分析。

 

基礎問題回答

  • 總結一下監控一個系統一般須要監控什麼、用什麼來監控。
    • 一般對一個系統的註冊表,開放端口,進程運行情況,開啓的服務等
    • 一般使用一些軟件來讀取系統的註冊表等。
  • 若是在工做中懷疑一臺主機上有惡意代碼,請設計下你準備如何找到對應進程、惡意代碼相關文件。
    • 首先斷網,以防止惡意軟件形成進一步的傷害。接着並對計算機的註冊表,進程,端口,服務等內容進行檢測,並觀察後臺運行的進程有沒有比較奇怪的。
    • 而後開啓一邁克咖啡波全盤掃描,我相信收錢的軟件。

實驗總結與體會

  • 惡意代碼的分析有不少方法,也有不少與之匹配的軟件,有些軟件仍是至關好用的,不過有一些則是一個難度的提高,須要對系統知識具備充分的掌握,並在實踐中摸索出更多方法
  • 作這些分析實驗,須要耐得住寂寞,有一些細節一不注意,就可致使最後功虧一簣,舉個例子,我在新建監視任務時,沒有勾選最高權限,致使個人cmd窗口每次都會跳出決絕訪問,其實,我知道是權限不夠的緣由,可是我覺得是要在訪問控制組裏添加everyone,但發現已經添加了,後來又重加了幾個dog,才發現沒看到下面的選項,真的是雪崩。。
  • 最後,這些惡意代碼分析實驗都是爲了之後能更好的看管本身的電腦,我如今是在虛擬機裏運行的,由於註冊表少,方便,還有就是個人c盤沒有幾個g了;不過,之後仍是得在本機上運行,這樣才能學以至用。否則就只在雲端起舞,而不在地面步行了。

 

實踐過程記錄

經過VirScan網站的行爲分析來分析惡意代碼:

準備工做:隨便抓取了一個wueryiyi.exe,這個網站仍是至關全面的,它主要是基於特徵庫的檢查匹配。shell

  • 檢測一波小程序

  • 點擊「文件行爲分析」,能夠詳細地察看是否有敏感行爲,能夠發現該文件會有網絡鏈接的行爲,自行刪除註冊表鍵值的行爲

     

PE explorer

準備工做:將wueryiyi.exe拖拽到PE explorer的窗口,先查看一波基本信息;windows

  • 能夠看見kali在2009年的時候就有了該後門程序的生成

 

 

  • 打開引入表查看一些具體信息,主要是函數的依賴

 

  • Windows中有3個很是重要的底層DLL:Kernel32.dll、User32.dll、GDI32.dll。其中Kernel32.dll顧名思義就是內核相關的功能,主要包含用於管理內存、進程和線程的函數;這個後門程序要調用內核,顯然不是什麼好東西。
  • WSOCK32.dllWS2_32.dll,是用來建立套接字的dll庫,這顯然是是想反彈端口鏈接啊!
  • ADVAPI32.dll庫是用來給應用程序記錄註冊表的操控和日誌的,憋說話,惡意代碼,鑑定完畢。

PEiD查殼一般狀況下,只有那些爲了保護自身軟件版權的,纔會加殼防止被反編譯,通常小程序是不會加殼的,沒有必要。

 

竟然什麼都沒找到,覺得沒有加殼,具體查看一下編譯器瀏覽器

 

  •  UPX啊,行了,壓縮殼的。

 

Dependency Walker

  • 進擊的巨人,他和PE explorer有許多類似之處,都是用來分析函數依賴的,不過各有千秋

 

 

  •  驚人的發現,他能夠對註冊表進行肆意的刪改,簡直了。

 

 

惡意代碼動態分析

SysTracer

  • 使用上次免殺實驗裏,用c寫的shellcode,在回連成功的狀況下進行監聽。
  •  首先在開啓後門以前,使用SysTracer進行一次快照,方便以後對比安全

  • 接着在回連成功以後進行第二次快照;
  • 而後在kali攻擊機中分別對靶機進行截圖和獲取shell,並分別進行快照
  • 將四次快照對比。
  • 將回連成功後的快照與以前的快照比對,能夠發現註冊表有了變化,新添加了一個表項,並且新添了一個開放端口80,用來回連的

  • 截屏以後發生的變化,註冊表進一步發生了變化,且新增了一個key;還刪除了本身的兩個記錄網絡

 

 

 

 

  • 獲取shell以後,又新添了4個開放端口;並且在cmd中添加了本身的權限,在windows下新建了本身的文件夾

 

wireshake

  • 對回連過程進行抓包,設置過濾條件ip.addr==192.168.207.133

  • watch看到靶機與攻擊機創建的三次握手鍊接,還有大量的TCP鏈接數據包
  • 對sreenshot和shell過程進行抓包,不過對抓到的具體包並非很瞭解
  • 安裝並使用Sysmon

  •  右鍵管理員cmd,輕車熟路,以前,常常在Windows命令行下編譯運行c代碼,不過得用管理員權限。函數

  • 配置一下文件,我以爲就用老師那個配置文件挺好的啊,版本號都給對了
  • 查看一下事件數,簡直爆炸
  • 那就過濾一下
  • 一開始還覺得是啥奧迪……
  • 被他發現是虛擬機裏的win10了
  • 設置任務計劃

  • 寫一個watchdog腳本,天天看一波門

  • 這裏有一點須要注意的是,必定要勾選最高權限,我一開始任務運行的時候,老是由於cmd不是以管理員身份運行的致使拒絕訪問,我知道是權限的緣由,找了半天,發現這下面還有一個最高權限運行,真的是……

  • 最後查看一任務
  • 檢查一下log網站

  • 由於是虛擬機,主要就是瀏覽器一類的軟件了,固然還有和本機的鏈接,127.0.0.1
  • 不太懂81.161.59.90是什麼ip,查了一下,羅馬尼亞……
相關文章
相關標籤/搜索