20145312《網絡對抗》Exp4 惡意代碼分析

20145312《網絡對抗》Exp4 惡意代碼分析

問題回答

1.總結一下監控一個系統一般須要監控什麼、用什麼來監控。

• 監控一個系統一般須要監控這個系統的註冊表，進程，開放端口，程序服務還有文件的添加和刪除狀況等。
• 使用一些軟件好比本次實驗用到sysmon、SysTracer v2.10等工具讀取系統的註冊表，進程表等信息來實現實時監測。

2.若是在工做中懷疑一臺主機上有惡意代碼，請設計下你準備如何找到對應進程、惡意代碼相關文件。

• 先對當前狀況快照，而後重啓計算機，對計算機的註冊表，進程，端口，服務等內容進行檢測，經過觀察註冊表，進程等內容的變化篩選出可疑的對象，而後針對可疑的對象使用抓包工具具體分析，看看有沒有鏈接未知IP地址等的可疑操做，分析數據包是否有可疑內容。找到該程序後能夠經過VirScan網站的行爲分析、PE explorer、PEiD等工具來分析其行爲、編譯信息等以此來判斷其是否爲惡意代碼。

實驗總結與體會

• 本次實驗咱們用多個工具靜態或動態分析了惡意代碼的行爲或操做，分析了系統的聯網狀況等。有很強的實踐意義，在從此使用計算機遇到疑似惡意代碼，咱們能夠經過經過VirScan網站的行爲分析、PE explorer、PEiD等工具來分析其行爲、編譯信息等以此來判斷其是否爲惡意代碼。同時咱們也要常常保存系統快照，發生異常狀況時能夠有個比對。

實踐過程記錄

經過VirScan網站的行爲分析來分析惡意代碼

• 上傳以前實驗生成的後門程序到VirScan網站，掃描後生成行爲分析表
  
• 能夠看到VirScan網站分析出該後門程序有創建一個指定的套接字鏈接，刪除註冊表鍵，刪除註冊表鍵值，檢測自身是否被調試，建立事件對象等行爲。可是蔡野同窗的博客經過對比兩次的後門程序（前者是不能免殺的，後者是能夠免殺的）分別分析後，發現可免殺的沒有檢測出具體行爲，可見只經過網站對惡意代碼進行分析是不夠的。

使用分析軟件動態分析

PE explorer

• 使用這個軟件打開後門程序NewShellcode-5312.exe查看一些基本信息和導入導出表等：
  
• 查看程序頭文件信息，能夠看到程序節頭的信息和一些指向操做信息
  
• 能夠看到程序引入了哪些dll
  
• 經過反彙編指令去反彙編程序，獲得一個大體的程序彙編語言：
  

PEiD

• 使用PEiD查殼，能夠看到殼和編譯器信息爲Visual C++ 8.0[Debug]
  

Sysinternals工具集

• Windows Ssinternals工具集，是微軟發佈的一套很是強大的免費工具程序集。

TCPview工具

• TCPview能夠查看系統中的TCP鏈接的進程
  
• 能夠看到百度拼音，explorer，湖南TV創建了不少TCP鏈接，從中能夠看到目的ip和端口等信息。

sysmon工具

• 安裝sysmon，參考http://www.freebuf.com/sectool/122779.html上面的模板來配置sysmon，但將模版第一行的版本號改成3.10。
  

• 可使用sysmon -c查看配置：
  

• 進入事件查看器查找日誌，而後進入sysmon日誌查看信息。
  
• 主要有一下幾個應用程序的服務日誌
  
• backgroundTaskHost進程屬於照片應用的進程，CPU佔用達到了很高的比率。
  
• 又是百度拼音
  
• Searchfilterhost.exe進程，大量佔用系統的CPU和內存資源，它的做用是在搜索文件時提供服務。
  

• QQ軟件管理守護程序了，基本上是安全的。

SysTracer v2.10

• 點擊進入後咱們默認選擇掃描全部，點擊start等待快照完成便可。

在正常狀況下，咱們在win7虛擬機下快照保存爲Snapshot #5312-1；
Kali生成相應的後門，將文件經過ncat傳到win7虛擬機下後快照保存爲Snapshot #5312-2；
Kali開啓msf監聽，在win7下運行後門程序後快照保存爲Snapshot #5312-3；
Kali對win7虛擬機進行截圖後，在win7下快照保存爲Snapshot #5312-4；

• Snapshot #5312-1與Snapshot #5312-2比較

• 傳輸文件事後註冊表發生變化；C盤新增了咱們傳輸的文件：
  
  

• Snapshot #5312-2與Snapshot #5312-3比較
• Kali回連成功後，能夠看到運行的程序中多了NewShellcode-5312.exe，以及它的開放端口和服務
  
• Snapshot #5312-3與Snapshot #5312-4比較

• 截屏後，註冊表信息又發生變化
  

wireshark捕包分析

• 捕捉win 10主機與Kali的通訊數據信息：
• Kali的IP地址：192.168.169.128
• Win10在以太網適配器 VMware Network Adapter VMnet8中的IP：192.168.137.1
• 使用nc傳輸數據
  
• 使用wireshark捕捉到TCP會話
  
  
  
• 能夠看到明文通訊內容：hi、hello、im 20145312，以及端口5312和源/目的IP地址等信息

計劃任務並記錄聯網行爲

• 新建觸發器
  
• 建立完成，咱們運行這個任務，發現5312下出現咱們的txt文件，可是沒有顯示出咱們想要的網絡鏈接記錄信息，而是：請求的操做須要提高，右鍵netstat5312.bat，點擊管理員權限運行，即成功。