Exp4 惡意代碼分析 20154308張珊珊

1、基礎問題回答

• 若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，因此想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。
  • 想監控的有進程聯網信息、修改註冊表項、開機自啓動信息等。
  • 可使用wireshark抓包分析，分析網絡鏈接狀態；查看軟件註冊表信息；使用SysTracer或者sysmon等軟件查看一段時間內系統事件、註冊表信息文件變化狀況，將這些信息錄入excel分析。
• 若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。
  • 用sysmon，能夠根據用戶自身的需求設置過濾內容，篩選出想要監聽的數據（網絡鏈接、進程建立、註冊表變化等）
  • 使用Wireshark進行抓包分析，簡單直觀
  • 使用systracer工具，動態分析註冊表以及文件、端口的修改狀況，再根據已收集的日誌數據，對有所懷疑的目標進行仔細分析，對來歷不明的網絡鏈接請求進行一個初步的安全判斷，這樣就能夠對進程的行爲有一個大體的定性分析，對於那些有問題不明確的進程，應該謹慎運行並分析緣由。

2、實踐過程

2.1 系統運行監控——Windows計劃任務schtasks

1.爲了顯示日期與時間，我先在C盤下建立netstatlog.bat文件，能夠經過修改txt文件後綴名實現。內容以下：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

2.在win終端：schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat"windows計劃建立成功，每五分鐘就會監測哪些程序正在聯網並記錄下來。

3.以管理員身份運行netstatlog.bat文件，產生netsatlog.txt文件，即記錄了監控信息。

可是不會自動監測，緣由是沒有設置最高權限。在任務計劃程序裏找到netstat進程，並在其屬性裏勾選使用最高權限運行

4.打開netstatlog.txt，能夠看到各程序聯網狀況的具體信息

其中svchost.exe常常出現，百度一下

2.2 利用sysmon工具監控系統

1.Sysmon是Sysinternals工具集裏面一個重要工具，最主要的功能就是能夠經過自定記錄規則進行系統運行的監控，語法結構與HTML一致，在老師給的配置文件的基礎上改了一點點，寫進C盤下20154308.txt文件，重點監視80和443端口

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">SogouExplorer.exe</Image>
</NetworkConnect>

<NetworkConnect onmatch="include">     
  <DestinationPort condition="is">80</DestinationPort>      
  <DestinationPort condition="is">443</DestinationPort>    
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

2.Sysmon.exe -i C:\20154308.txt安裝sysmon，出現以下問題

解決辦法：以管理員身份打開終端再安裝就能夠了

安裝成功

3.啓動以後，在事件查看器中打開應用程序和服務日誌，在Microsoft->Windows->Sysmon->Operational找到記錄文件

點開其中一個能夠發現這個記錄的就是咱們以前百度的svchost.exe

這個是使用百度拼音的時候，它經過443端口與外部進行了鏈接

4.使用查找功能

找到上一步咱們運行的netstatlog.exe的記錄

6.360chrome.exe這個是我在用360極速瀏覽器

7.運行後門c.exe,找到了這一事件

2.3 使用virscan.org網站進行靜態分析

上傳上一次作的後門文件c.exe進行掃描，可是不知道爲何個人網站沒有文件行爲分析，找不到這個功能，試了別的網站也同樣。

看別人的博客，好像經過這個方法也沒有分析出來什麼？？？因此我就直接跳過這個方法了。

2.4 SysTracer

這個軟件不只能夠作系統快照，還能夠能夠比較系統快照之間的不一樣。
我照了三次，1是系統啥後門軟件也沒有以前，2是安裝了後門以後，3是回連成功並進行了屏幕快照操做

比較1和2如圖

能夠發現系統中多了一個文件，也就是我放進去的後門4308backdoor.exe

再對2和3進行比較

發現剛剛的後門運行起來了，IP地址和端口都是對的

還增長了一些file Directory Key,file多是截屏的操做，Directory是目錄的意思，畢竟是個後門，可能偷偷動了個人目錄？

看註冊表的時候發現由於軟件沒有註冊，這個功能被限制了，就沒看到，借鑑別人的博客發現註冊表確實是會被修改的。
SysTracer就到這兒了。

2.5 PE Explorer

PE Explorer是功能超強的可視化Delphi、C++、VB程序解析器，能快速對32位可執行程序進行反編譯，並修改其中資源。

用它打開個人後門程序4308backdoor.exe,能夠看到程序的頭部信息

程序的一些數據

結頭信息

還有能夠進行反彙編

感受蠻厲害，可是不太能看得懂……

2.6 wireshark抓包

回連成功後中止抓包，過濾條件tcp.port == 4308

能夠看到靶機的4308端口和攻擊機的61531端口進行了tcp三次握手，ip地址也是對的，我剛剛回連並進行了的一些操做全都記錄在案。

PS:實驗中不記得哪一步打開的免殺後門c.exe，個人360竟然報毒了！上次實驗它一點做用也沒起，如今仍是有一點點點點欣慰的

三.實驗總結

此次實驗不在於使用多少軟件，而是要學會分析。

wireshark抓包仍是比較能看懂的，SysTracer也能看懂大部分，它的比較功能可讓咱們更直觀地看到咱們的系統有哪些變化，端口、ip、添加了哪些操做。PE Explorer是真的看不懂，不知道里面的具體信息在講什麼，看別人的博客也沒看出什麼東西。

利用sysmon工具和新建任務計劃來監控系統這個實驗，我以爲我收穫仍是蠻大的，能夠看到個人電腦天天都在幹嗎，也讓我知道了日誌這種東西多麼強大多麼重要。