20145320惡意代碼分析

20145320《網絡對抗》惡意代碼分析

本實踐有兩個目標，（1）是監控你本身系統的運行狀態，看有沒有可疑的程序在運行。(2)是分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。

1.系統運行監控

（1）使用計劃任務

每隔五分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。

C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

這樣就在計劃任務裏面添加了一個任務，就是每五分鐘使用cmd執行命令netstat -bn並把結果存放到c:\netstatlog.txt文件中！
咱們再加工一下，在C盤要目錄下建一個文件c:\netstatlog.bat，內容以下：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

能夠在圖形界面打開計劃任務，將其中每5分鐘執行的指令從"cmd /c netstat -bn > c:\netstatlog.txt"中的netstat -bn > c:\netstatlog.txt替換爲「c:\netstatlog.bat」。

更改完後，咱們在netstatlog.txt中會看到以下的輸出，多了日期與時間，這樣看起來更方便。

接下來就是人工分析過程

上面生成的文件抓取了個人電腦從週二晚上到週三晚上之間聯網的文件。將文件內容複製到excel中，再看如何統計分析。主要是目的是爲了找出哪些軟件連網最多，都鏈接了哪些IP,把沒用的重複項都去掉。
刪除了相似
TCP 127.0.0.1:19120 127.0.0.1:19119 TIME_WAIT
的項以後進行分析

發現了除了正在使用的火狐瀏覽器和酷狗音樂以外，還有一個文件dlna_player.exe在不停的進行聯網。

使用everything查找電腦中名叫dlna_player.exe的軟件

發現是在這個路徑之下！

Roaming文件夾是用來存放軟件的配置文件和臨時文件的，Kugou8說明這個是酷狗的文件。通過上網查詢發現這個是酷狗DLAN服務（手機投放功能），經過DLNA技術,能夠在家庭局域網中將手機、平板、電腦、電視或者音響及其餘音視頻設備聯通起來,互相之間能夠訪問其中的音樂、照片和視頻。

看來並非說明可疑軟件！

這裏咱們仔細分析一下，這裏源地址和目的地址都是127.0.0.1，說明是在本身的電腦上的不一樣端口上進行運行，並無進行聯網活動！

真正的進行聯網的軟件應該是這樣：

本機地址是172.30.2.22，鏈接端口是80就是在鏈接http，鏈接端口是443就是在鏈接https。

（2）sysmon工具

按照步驟安裝並設置好之後：

按照老師的指示應該在「Applications and Services Logs/Microsoft/Windows/Sysmon/Operational」裏，我怎麼就硬是找不到了（中英文對照翻譯也沒有找到）

後來問了別人解決了這個問題，在事件查看器裏面查看，能夠查看文件的聯網：

2.惡意軟件分析

對以前實驗生成的5320_2.exe在virscan.org上面進行行爲分析：

分析其文件行爲

這些行爲都是木馬後面軟件所要乾的危險的事情！

PE explorer

可使用這個軟件打開後門程序查看一些基本信息和導入導出表等：

上圖能夠看到程序的文件頭的信息。

上圖能夠看到程序節頭的信息和一些指向操做信息

這裏能夠看到程序引入了哪些dll。

SysTracer v2.10

這裏使用SysTracer 分析軟件來對後門軟件的運行過程來進行分析

分析對象上選擇以前在網頁上分析只有7款殺軟查出問題而電腦管家沒有查出問題的5320_2shelldoor.exe，仍是由虛擬機Kali做爲攻擊方進行監聽，本身的主機做爲靶機進行回連。

• 首先在執行後門以前打開安裝好的SysTracer而後進行一次快照，選擇註冊表和應用進行快照。

• 而後在執行後門程序回連成功以後第二次快照

• 在kali經過msf對靶機進行截屏以後第三次快照

對比第一二次快照，發現
一、打開了新的Handles

二、打開了新的端口8888

對比第一二次快照，發現

一、註冊表有變更

二、端口變化

1.實驗後回答問題

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

• 因爲後面軟件的目的都是獲取受害者的資料，那就須要聯網上傳。這時監控聯網信息，監控連接了哪些ip，抓包看看傳送的數據是否敏感。同時監控註冊表信息對自啓動文件需格外留意。

  這個時候咱們能夠：

• wireshark進行抓包分析，查看系統到底進行流量交換直接的內容有沒有敏感信息，效率較低。另外，使用軟件分析註冊表信息是否合理。使用sysmon用來監視和記錄系統活動，並記錄到windows事件日誌，能夠提供有關進程建立，網絡連接和文件建立時間更改的詳細信息。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

• 當某個進程已經被確認爲有問題時。wireshake就好用多，在關閉其餘聯網進程的狀況下一抓包，就能夠看出這個軟件到底在進行什麼鬼操做！另外去virscan.org網站掃描可疑進程，能夠大體瞭解進程的行爲。固然使用PE也是很棒的！

2.實驗總結與體會

這個實驗感受更多的是在學習使用各類各樣的命令行和工具來監視咱們的電腦進程。不過這也沒有辦法，由於只要後門軟件不做怪，不啓動，咱們很難拿他有什麼辦法。只有當他啓動了，修改了某些東西或者上傳了某些數據，咱們纔能有所察覺，這樣很是被動效率也很是低，可是也迫不得已。畢竟有些後門程序啓動了咱們都沒法察覺（對吧360）！

留給我一種感受就是道高一尺，魔高一丈。作分析尚未直接作一個後門簡單哈哈哈哈。