20154309 【網絡對抗技術】Exp4: 惡意代碼分析

Exp4 惡意代碼分析
1、實踐目標
1.監控本身系統的運行狀態，看有沒有可疑的程序在運行。
2.分析一個惡意軟件，分析Exp2或Exp3中生成後門軟件。
2、實踐步驟
1.系統運行監控
使用 netstat 定時監控
首先建立一個txt文件，用來將記錄的聯網結果按格式輸出到netstatlog.txt文件中，內容爲：
date /t >> d:\netstatlog.txt
time /t >> d:\netstatlog.txt
netstat -bn >> d:\netstatlog.txt

把它的後綴名改爲bat。再移動到d盤。
開啓命令提示符

如下是一些捕獲到的內容。

打開個人netstatlog記事本，能夠發現我在今日晚上的鏈接網絡的狀況。

過一段時間等收集到足夠多的數據後，建立一個excel

在數據選項卡中選擇導入數據，選中保存的netstatlog.txt文件，設置使用分隔符號 ，並勾選所有分隔符號。

單擊數據透視表，選中協議那一列，建立到新的工做表中，把字段拉到行和值中，選爲計數，就獲得各進程的活動數了。

轉化爲圖形，更爲直觀簡潔

沒有可疑的進程，電腦處於安全（由於有QQPCTRAY在工做）。
再看看外部網絡鏈接

應該是瀏覽器瀏覽不一樣地址形成的。從圖表能夠看出使用最多的地址。這樣能夠看見有沒有可疑的地址訪問。
使用 sysmon 工具監控
首先配置sysmon，建立一個txt文件，輸入配置信息，可根據我的需求增添刪改。

管理員模式運行cmd，用cd指令轉到sysmon目錄，輸入指令 sysmon.exe -i 20154323sys.txt（若是配置文件與sysmon.exe不在同一目錄，須要輸入配置文件的目錄）。

啓動sysmon以後能夠在 右鍵個人電腦——管理——事件查看器——應用程序和服務日誌——Microsoft——Windows——Sysmon——Operational 查看日誌文件。

製做後門文件。用veil

運行，找到了我本身啓動本身製做的後門文件

從它的特徵我並不知道如何斷定爲後門文件，ParentImage那一欄寫的是explorer.exe（不是iexplorer，很容易弄混。而是資源管理器！！）和sysmon自己同樣， explorer是不少病毒喜歡假裝或感染的對象。
除了本身的後門文件外，沒有發現其餘的可疑進程。高手能夠發現本身的電腦上的密碼，有的學長學姐好像發現過本身的木馬。做爲信息安全保密工做的人士，不只僅是工做上，本身私人電腦上也不該該有木馬。嚴謹 ，嚴防泄密，這是職業素質。
2.惡意代碼分析
使用virscan掃描病毒

能夠看見行爲分析，能夠看到攻擊方主機的部分IP及端口號，

使用SysTracer分析惡意軟件
使用systracer工具創建4個快照，分別爲：
snapshot#1 後門程序啓動前，系統正常狀態
snapshot#2 啓動後門回連Linux
snapshot#3 Linux控制windows在其D盤目錄下建立一個文件

對比一、3兩種狀況。

能夠看到打開後門後修改了註冊表的內容。不少地方的註冊表都被修改了，有一部分應該是它修改的。注意選擇的是「Only Differences」

而後再把後門程序關閉，拍一張快照。發現註冊表還有變化，在這期間沒有手動運行其餘程序，應該是後臺在修改註冊表。有多是爲了擦出痕跡，把修改過的註冊表改了回去。
如圖：

使用PEiD分析惡意軟件
使用PEiD軟件能夠查看惡意軟件的殼的相關信息，以及其所使用的編譯器版本。

使用Process Monitor分析惡意軟件
啓動後會抓到很是多的進程數據，能夠點出工具——進程樹，便利找到我本身的後門程序。

後門程序運行起來後確實與explorer.exe（資源管理器）有很大的關係

在進程樹中找到後門進程右鍵轉到事件，能夠在主窗口中找到程序，能直接看到回連的IP地址和端口號然而此次IP地址沒顯示，顯示爲bogon，百度了下說是不應出如今路由表中的地址。

在進程信息中的模塊裏找到 advapi32.dll 百度說是包含函數與對象的安全性、註冊表的操控以及與事件日誌有關，仍是很重要的一個dll文件，一個無關程序莫名與其掛鉤，就很值得引發咱們懷疑。
使用Process Explorer分析惡意軟件
打開process explorer後，接着運行後門程序回連

雙擊點開進程，在TCP/IP選項卡中能夠看到回連的Linux的IP地址和端口。

使用TCPView工具分析惡意軟件
後門運行時直接打開 tcpview 工具，能夠直接找到後門進程

能夠直接看到後門程序鏈接的IP地址及端口號。 3、實驗後問題回答 （1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。 1.能夠經過設置定時計劃任務，使用 netstat 指令將主機中的網絡鏈接活動跡象都記錄下來，逐一篩選。 2.可使用sysmon工具，有選擇的編寫配置文件，將主機中各個進程的活動記錄下來，能更加省時省力。 （2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。 1.可使用systracer工具，對比進程運行先後，系統中的變化狀況，從而得知它的行爲活動信息。 2.可使用process explorer工具，查看該進程的網絡鏈接狀況，以及線程、執行等信息。 4、實驗心得與體會 此次實驗作起來比較簡單，分析起來比較難。在照快照的時候花費了不少的時間，由於對於病毒的機制不太熟悉，不知道它會修改那些項目，因此只好選中了全部的項目。此次實驗我終於知道了如何查看本身的電腦是否中了後門，去查看狀態。收穫頗多。