Exp4 惡意代碼分析 20154302薛師凡

Exp4 惡意代碼分析 20154302薛師凡

1、實踐內容

（一）系統運行監控

1.Windows計劃任務—schtasks。

輸入指令
schtasks /create /TN 20154302netstat /sc MINUTE /MO 3 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

表示每3min記錄下有哪些程序在鏈接網絡,輸出結果在C盤的netstatlog.txt文件中。
（解釋：TN是TaskName的縮寫，咱們建立的計劃任務名是20154302netstat；sc表示計時方式，咱們以分鐘計時填MINUTE；TR=Task Run，要運行的指令是 netstat -bn,b表示顯示可執行文件名，n表示以數字來顯示IP和端口）

咱們打開文件netstatlog.txt發現裏面已經被寫了內容

在C盤要目錄下建一個文件c:\netstatlog.bat（先把後綴設爲txt，保存好內容後把後綴改成bat）

date /t >>c:\netstatlog.txt

time /t >>c:\netstatlog.txt

netstat -bn >>c:\netstatlog.txt
打開控制面板->任務計劃程序，找到任務4302

雙擊打開，對操做選項卡進行編輯，將「程序或腳本」內容替換爲C盤下的netstatlog.bat文件，修改爲功後運行程序。(注意這裏須要設置打開最高權限)

能夠看到統計的結果中有了時間記錄

對記錄進行統計分析了，用Excel工具統計一下。
打開Excel點擊數據選項卡，在獲取外部數據的方式上選擇 來自文本，選擇咱們以前記錄鏈接狀況的文本netstatlog.txt：

選分隔符號所有選上，擇分隔符號：

列數據格式選擇常規：

成功導入

能夠看到，聯網最頻繁的是 wpnservice協議，又對IP地址進行了統計。

我對其中一條IP地址進行了查詢的時候，發現能夠經過IP地址定位北京電子科技學院，

2.Sysmon監控

用老師給的sysmon.exe 程序
安裝sysmon，不過安裝sysmon須要配置文件，指定它監控的內容
建立配置文件20154302.txt
內容爲：


*




microsoft</ Signature>
windows

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
  <SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>

輸入指令sysmon.exe -i 20144302.txt 安裝
（此處注意版本爲3.10，須要調整）

安裝好後去查看 事件查看器

依次打開 應用程序和服務日誌-> Microsoft -> Windows -> sysmon -> Operational

點擊事件就能夠查看信息了，使用查找功能找到了後門程序，


下面找到ID分別爲一、二、3的



再使用後門遷移migrate 5568，將後門遷移至svchost.exe

並用sysmon發現了它（ID爲8）

（二）惡意軟件分析

1.特徵庫對比

登陸https://www.virustotal.com 網站，上傳一個後門木馬，進行靜態分析

行爲掃描的結果很詳細

2. systracer

點擊take snapshot來快照，惡意軟件啓動回連時和惡意軟件執行sysinfo命令進行查看時

比較來看咱們能夠看到不少信息，包括IP及端口

惡意軟件執行sysinfo命令時無特殊信息，但在進行截屏操做時註冊表信息有了修改：

3. 聯網狀況分析

在後門程序回連時，在主機的命令行中用netstat -n命令查看TCP鏈接的狀況，能夠發現其中有進行回連的後門程序：
回連時創建tcp鏈接

4. Process Monitor

打開Process Monitor就能夠就看到按時間排序的winxp執行的程序的變化，運行一下4302c中的後門程序main.exe，再刷新一下Process Monitor的界面，能夠指定查找到程序。

5.Wireshark抓包

在回連後以前開始抓包

設置捕獲的篩選條件爲port：4302

能夠看到原地址192.168.199.239和目的地址192.168.199.218，端口號等信息

（提示，用kali中自帶的Wireshark更方便）

2、實驗後回答問題

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

使用sysmon工具，把你最懷疑的程序進行重點監控,或使用用schtasks指令，收集的信息也比較全面。直接在命令行中netstat -n命令，可以查看TCP鏈接的狀況,使用Process Explorer，監視進程的執行；使用抓包軟件進行抓包，經過觀察註冊表，進程等內容的變化篩選出可疑的對象，而後觀察能夠對象的流量是否異常，對數據包類型解析看看是否有可疑的內容；查看軟件註冊表信息；使用SysTracer等軟件查看一段時間內系統註冊表信息文件標化狀況，將這些信息錄入excel分析。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

使用systracer工具創建不一樣的快照分析某個程序執行先後計算機註冊表、文件、端口的一些變化狀況,使用wireshark進行抓包分析，查看進程或程序聯網時進行的操做

3、實驗總結與體會

這次實驗與以往大不相同，能夠說是方向相反，以往是攻擊，這次爲防護，誠然咱們學習網絡攻擊的目的並不是要去成爲黑客，而是是爲了知己知彼，更好地進行防護。這次實驗讓我認識和初步掌握了諸多惡意代碼分析的工具和方法，我收穫頗豐。可是因爲相關網絡知識匱乏，分析能力十分有限，往後我必定要注意積累，奮起直追。