20145214 《網絡對抗技術》 惡意代碼分析

20145214 《網絡對抗技術》 惡意代碼分析

1.實驗後回答問題

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

• 我認爲最直接的方法使用sysmon工具，把你最懷疑的程序添加到「黑名單」中進行重點監控
• 其次能夠用schtasks指令，雖然有普遍撒網的感受，收集的信息量會很大，但與此同時，收集的信息也是比較全面的
• 直接在命令行中netstat -n命令，可以查看TCP鏈接的狀況
• 使用Process Explorer，監視進程的執行

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

• 使用systracer工具創建不一樣的快照，分析某個程序執行先後計算機註冊表、文件、端口的一些變化狀況
• 使用wireshark進行抓包分析，查看進程或程序聯網時進行的操做

2.實驗總結與體會

• 此次的實驗過程可謂是歷經艱難險阻，九九八十一難，前面的磕磕絆絆暫且不提了，畢竟實驗哪有順風順水一路暢通無阻的就能完成的，有一些小插曲才能讓咱們對實驗內容和相關的知識理解得更透徹嘛。可是！然而！從實驗進行到在XP上時，我就感受到了來自XP的森森惡意。首先，我要在VM中打開解壓過的XP，講道理應該沒有什麼問題的，但事實是不管我怎樣點打開，個人VM安靜的似乎沒有任何操做發生過！在宋歌同窗的建議下，我從新解壓了一遍XP，終於！它能打開了！接着我就應該把個人後門程序複製到XP上了，就在這時！我發現我從本身的主機沒法複製東西到XP上！從XP能夠複製到XP，從XP能夠複製到個人主機，就恰恰不能從主機複製到XP？這是鬧哪樣？好吧，我不氣餒，個人XP能夠聯網嘛，我發郵件，再從XP登錄郵箱下載下來就能夠了嘛！可是！然而！QQ郵箱說出於安全性考慮，不讓我發送此類文件...我...最後，藉着宋歌同窗的電腦才順利完成了最後三個小部分，在此感謝親愛的宋歌同窗雪中送炭，拯救了瀕臨崩潰的我...
• 本次實驗在我心中的地位進入了年度TOP3，感恩惡意代碼分析，感恩XP

3.實踐過程記錄

（1）系統運行監控之使用schtasks指令

• 先在C盤目錄下創建一個netstatlog.bat文件，將文件擴展名改成netstatlog.txt，用記事本打開編寫以下內容：

  date /t >> c:\netstatlog.txt
    time /t >> c:\netstatlog.txt
    netstat -bn >> c:\netstatlog.txt

• 內容編寫完畢後，從新改回.bat文件格式，並用管理員權限打開命令行，輸入以下schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"建立一個每隔兩分鐘記錄計算機聯網狀況的任務
  

• 靜靜地等待一段時間，在這期間作一些打開網頁等等操做，覺得就會自動出現netstatlog.txt顯示我鏈接的網絡的時間和日期信息，萬萬沒想到它靜靜的什麼都沒有發生

• 參閱更多同窗的博客後發現須要右鍵netstatlog.bat用管理員權限運行，果真netstatlog.txt出現了，並且記錄了主機的聯網日誌
  

（2）系統運行監控之使用sysmon工具

• 配置文件，將老師給的配置文件稍加修改以下，將搜狗瀏覽器添加到了exclude——白名單中，將EXPLORER.EXE添加到了include——黑名單中進行重點監控
  

• 在命令行中進入到sysmon所在的目錄下，使用Sysmon.exe -i C:\Sysmoncfg.txt指令對sysmon進行安裝
  

• 打開應用程序和服務日誌,找到記錄文件。打開任意一條信息，均可以查看該事件的詳細信息
  

• 以下圖，能夠看到該事件是由微信建立的，也能夠看到建立時間爲2017/4/1，使用的協議類型是TCP，也能夠看到源地址和目的地址分別爲多少
  

（3）惡意軟件分析之使用virscan分析

• 打開VirScan網站，能夠看到以前提交過的後門程序的報告
  

• 點擊文件行爲分析,可以查看文件的基本信息，以下能夠看到文件加殼了，網絡行爲是創建到一個指定的套接字鏈接，註冊表行爲有刪除註冊表鍵及刪除註冊表鍵值，另外還有檢測自身是否被調試、建立事件行爲等等
  

（4）惡意軟件分析之systracer工具快照

• 計劃一共創建5個快照，分別是：沒有後門程序時、放入後門程序時、後門程序回連時、執行簡單的dir命令時、進行截屏這五個階段，而且給這五個快照分別按#1--#5命名

• 首先對比1和2發現，增長了後門程序20145214.exe
  

• 對比2和3發現，後門程序創建了主機到Kali的tcp鏈接，進行了回連，而且後門程序對註冊表項進行了修改
  

• systracer好像只能一次性創建5次快照，因爲以前浪費了兩次機會，無奈之下只好從新再裝一次systracer，先給前三次快照留個全家福..
  

• 從新安裝以後，對比4和5，發現截屏時註冊表發生了一些變化
  

（5）惡意軟件分析之使用wireshark

• 在後門程序回連時，在主機的命令行中用netstat -n命令查看TCP鏈接的狀況，能夠發現其中有進行回連的後門程序20145214.exe
  

• 在後門程序回連時，在Kali中打開wireshark，進行捕包分析發現，捕捉到了靶機回連kali時經過TCP的三次握手協議過程
  

• 進一步分析發現，還捕捉到了靶機kali向主機發送文件的數據包
  

（6）惡意軟件分析之使用Process Monitor

• 打開Process Monitor就能夠就看到按時間排序的winxp執行的程序的變化，運行一下後門程序20145214.exe，再刷新Process Monitor的界面，能夠指定查找到相應程序
  

（7）惡意軟件分析之使用Process Explorer

• 打開Process Explorer，在Process欄點開explorer.exe前面的小加號，運行後門程序20145214.exe，界面上就會出現它的基本信息
  

• 可以查看遠程主機的IP地址和端口號
  

• Performance頁簽有程序的CPU、I/O、Handles等相關信息
  

• Strings頁簽有掃描出來的字符串，有些是有意義的，有些是無心義的
  

• Environment頁籤能夠查看一些變量的值
  

（8）惡意代碼分析之使用PEiD

• 講道理使用PEiD軟件能夠查看惡意軟件的殼的相關信息，以及其所使用的編譯器版本，可是我沒有成功，顯示的是個人程序沒有加殼
  

• 可是怎麼可能沒有加殼呢！必定是哪裏出現了差錯...看高其同窗的博客，他的界面上有set info鍵，可以查看更詳細的信息，可是我用盡各類方法依然什麼發現都沒有，最後猜想是否是開啓的PEiD版本不一樣致使的，因而去開了個英文版的，結果卻並無任何差異，鬱悶