Exp 4 惡意代碼攻擊 20154315 李惠航

1、實踐目標

1.監控本身系統的運行狀態，看有沒有可疑的程序在運行。

2.分析一個惡意軟件，分析Exp2或Exp3中生成後門軟件。

2、實踐步驟

1.系統運行監控

1.1 使用 netstat 定時監控

首先建立一個txt文件，用來將記錄的聯網結果按格式輸出到netstatlog.txt文件中，內容爲：

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

更改後綴名爲bat（批處理文件），右鍵開始菜單打開命令提示符，右鍵點擊選擇「使用管理員權限」（注意：此處必須是管理員權限，不然權限不夠將沒法執行本步驟）輸入指令 schtasks /create /TN 20154315（任務名） /sc MINUTE /MO 2 /TR "c:\20154315.bat（上面建立的文件） 建立間隔2分鐘的計劃任務。

過一段時間，等收集到足夠多的數據後，netstatlog.txt以下圖：

建立一個excel，在「數據」選項卡中選擇「導入數據」，選中保存的netstatlog.txt文件，設置使用分隔符號 ，並勾選所有分隔符號。

 

 

在新工做表中生成的數據透視表，單擊數據透視表，選中進程那一列，建立到新的工做表中，把字段拉到行和值中，選爲計數，就獲得各進程的活動數了（注意把不須要統計的行勾掉）。

 

 咱們還能夠轉化爲數據透視圖，觀察起來會更加直觀。

 

1.2使用 sysmon 工具監控

首先配置sysmon，建立一個txt文件，輸入配置信息，可根據我的需求增添刪改。

管理員模式運行cmd，用cd指令轉到sysmon目錄，輸入指令 sysmon64.exe -i 20154315.txt，跳出安裝窗口後贊成完成安裝。

啓動sysmon以後能夠在 右鍵個人電腦—管理—事件查看器—應用程序和服務日誌—Microsoft—Windows—Sysmon—Operational 查看日誌文件。

 

我感受並看不出來有啥不同的，並不知道如何斷定爲後門文件，就有一點它的PARENTIMAGE那一欄寫的是explorer.exe（程序管理和文件資源管理程序，沒了他就沒桌面了）和sysmon自己同樣，可能個人後門程序主要就是經過explorer來達到控制的目的的吧。

 

 

 

2.惡意代碼分析

2.1 使用virscan分析惡意軟件

在virscan網站上對上次實驗中C語言調用shellcode直接編譯的後門文件作行爲分析

 

很是危險！！！

2.2 使用SysTracer分析惡意軟件

使用systracer工具創建4個快照，分別爲：

  snapshot#1 後門程序啓動前，系統正常狀態

  snapshot#2 啓動後門回連Linux

  snapshot#3 Linux控制windows在其D盤目錄下建立一個文件

  snapshot#4 關掉後門，斷開鏈接後，主機狀態

先對比下Snapshot #1和Snapshot #2兩種狀況，選中快照，而後點擊「compare」按鈕

把Only differences勾上，這樣會只顯示先後兩種狀態更改的內容，更方便咱們查看。

能夠看到打開後門後修改了以上三項註冊表的內容，在應用（Application）——打開端口（Opened Ports）中能看到後門程序回連的IP和端口號。

 

 接着對比下snapshot #2，snapshot #3兩種狀況

在原來的基礎上原來的三個註冊表都有修改，還多修改了一項HKEY_CLASSES_ROOT

增長了一個文件，就是剛剛我建立的。

接着對比下snapshot #三、snapshot #4兩種狀況

註冊表還有改動

2.3 使用PEiD分析惡意軟件

使用PEiD軟件能夠查看惡意軟件的殼的相關信息，以及其所使用的編譯器版本，我用上次實驗upx加殼生成的後門文件爲樣本檢測。

可見加殼真的沒啥用...........

2.4 使用Process Monitor分析惡意軟件

 啓動後會抓到很是多的進程數據，能夠點出工具——進程樹便利查看，多了堆棧信息，然而好像其餘的具體內容很少。

 

2.5 使用Process Explorer分析惡意軟件

打開Process Explorer，運行後門程序20154315_backdoor.exe，在Process欄能夠找到20154315_backdoor.exe

雙擊後門程序20154315_backdoor.exe那一行，點擊不一樣的頁標籤能夠查看不一樣的信息：
TCP/IP頁簽有程序的鏈接方式、回連IP、端口等信息。

Strings頁簽有掃描出來的字符串，有些有意義，有些無心義。我發現了一個wxf.c文件在裏面，我估計是他運行20154315_backdoor.exe所依託的代碼。

 

3、實驗後問題回答

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

答：

①能夠經過設置定時計劃任務，使用 netstat 指令將主機中的網絡鏈接活動跡象都記錄下來，逐一篩選

②可使用sysmon工具，有選擇的編寫配置文件，將主機中各個進程的活動記錄下來，能更加省時省力。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

答：

①可使用systracer工具，對比進程運行先後，系統中的變化狀況，從而得知它的行爲活動信息。

②可使用process explorer工具，查看該進程的網絡鏈接狀況，以及線程、執行等信息。

4、實驗心得與體會

此次實驗，在於使用不一樣的工具分析系統中程序/進程，經過對其行爲的分析來證明該程序/進程是否爲惡意代碼，分析的方法有好多，像抓包、查看日誌、統計網絡使用狀況等，經過對比，找到一段時間內使用不正常的程序/j進程，再進行行爲分析，肯定是不是惡意代碼。最重要的是，要養成一個良好的上網習慣，儘可能去避免惡意代碼的入侵，保護咱們的隱私和數據，保護咱們本身的計算機，這是這個實驗更深層次的意義所在。