20155325 Exp4 惡意代碼分析

系統運行監控

• （1）使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。

導入數據

TCP是最多見的鏈接方式，我在測數據的時候打開着火狐、有道雲和360，幾個相關的進程頻繁出現，符合預期。
而一個wpscloudsvr.exe常常出現，對此我展開了調查。結論它是一個WPS相關的程序，網上對它的描述，可能是關於WPS熱點新聞的記敘，好比 WPS熱點怎麼永久關閉
捉住了一個我並不想運行卻老是偷偷外聯的進程（xiao yao jing）。

• （2）安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

參考：schtask與sysmon應用指導

實際日誌的分析還須要發揮下本身的創造力，結合之前學過的知識如linux的文本處理指令等進行。分析的難點在於從大量數據中理出規律、找出問題。這都依賴對結果過濾、統計、分類等進一步處理，這就得你們會什麼用什麼了。

按照實驗二作了一個exp4.exe，爲了利於分析，我就只作了一個截屏操做。

查看日誌

就在這個日誌的下一條

經查資料發現，這是360的一個部件 360tray.exe是什麼進程

不過很遺憾，360並無檢測到我在運行後門。

而後是svchost.exe （是從動態連接庫 (DLL) 中運行的服務的通用主機進程名稱。這個程序對系統的正常運行是很是重要，並且是不能被結束的。許多服務經過注入到該程序中啓動，因此會有多個進程。）

結合資料：1.若是svchost.exe 位於在C:Windows\System32 下的子目錄下，那麼威脅的危險度是75%。文件大小是525312 字節 （佔總出現比率12% ），86016 字節 及53 種其它狀況。

2.由於svchost進程啓動各類服務，因此病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破壞的目的。

3.它出現的位置就在使用exp4.exe就近，它以後就是360tray.exe和火狐了。

因此我以爲，這和exp4.exe相關聯，頗有可能就是exp4.exe用於截屏所調用的程序。

惡意軟件分析

分析該軟件在(1)啓動回連，(2)安裝到目標機(3)及其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。該後門軟件

（3）讀取、添加、刪除了哪些註冊表項

（4）讀取、添加、刪除了哪些文件

（5）鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）

該實驗重點在「分析」，不是「如何使用某軟件」。組長、課題負責人要求寫細一點，其餘人能夠重點放在分析上。

Systracer

1.正常運行狀態2.回連後門並拍攝了快照

若是隻是選中compare一個，
悲傷地發現，都沒有辦法查看

可是
選中兩個compare後就能夠查看些東西

wireshark

虛擬機向主機傳送playload5325.exe

我發如今 Vmware_c0:00:08 和Broadcast之間用ARP傳輸數據，因爲KALI與主機之間用的是NAT模式，結合上課所講的內容，我推測這個過程就是在進行翻譯哪一個IP是誰。
在它們溝通好以後，主機和KALI使用命令行查看到的IP，用TCP傳輸數據

virscan

實驗後回答問題

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

1.netstatlog.bat結合schtasks生成excel分析出可疑程序或進程
2.sysmon工具監控系統
3.systracer快照對比先後的變化
（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

1.在事件查看器查看Sysmon裏進程的相關信息，搜索在特定時間點的進程周圍調用了哪些進程或程序，若是有不明白的進程名，能夠經過百度查看其用途，再結合電腦的表現及該時段聯網的流量信息進行行爲分析。
2.wireshark分析在這段時間與哪些的IP的交互和使用的協議
3.把該程序放到virscan網頁上進行測試。

遇到的問題

• 問題1：沒法在C盤建立netstatlog.bat

• 解決：在D盤建立netstatlog.txt-》編輯內容-》改netstatlog.txt後綴名爲netstatlog.bat（電腦要可以顯示後綴名，方法百度便可）-》把這個文件剪切進C盤

• 問題2：在設置完任務之後，每隔一段時間，有命令行在閃，但並無發現netstatlog.txt

• 解決：控制面板-》任務計劃程序-》找到任務並右鍵「屬性」-》常規

雖然這個並無解決個人問題，但可能會對其餘狀況有所幫助：
任務計劃沒法正常運行批處理文件的解決方法

• 嘗試解決過程：

  1.新建同名.txt（當成功運行，沒有.txt會本身新建）

  2.

運行以後發現文檔裏有內容了，說明不是.bat的問題，問題應該是出如今調用身上

3.編輯任務-》操做-》編輯-》起始於（添上起始的位置C: )失敗

4.把相應bat添加到360信任中（失敗）

5.而後我設置了這個

結果是隻有在任務計劃程序中對任務右鍵運行的那一次會成功刷新.txt，後面仍是不行。

6.後來發現已通過了設置的時限（雖然並不清楚爲何過了時限仍是會閃命令行）而後把時限設置爲無期限。

• 問題思考：出現的問題總結起來就是：可以手動運行.bat，可是在任務計劃程序中不能成功運行。

• 通過實驗排除緣由：與1. 2. 3.和4.無關

• 問題3：

在事件查看器中找不到Sysmon

• 解決方法：在C:\WINDOWS\system32搜索「cmd」-》右鍵「以管理員身份運行」
  

從新打開「事件查看器」-》應用程序和服務日誌/Microsoft/Windows/Sysmon/Operational

• 嘗試解決過程（失敗）：

  1.在解壓的文件裏找到Sysmon.64exe和Sysmon.exe，雙擊（閃現命令行）-》失敗

  2.右鍵Sysmon.64exe和Sysmon.exe以管理員身份運行-》失敗

  3.把配置文件放到解壓文件夾裏從新運行-》失敗

  4.

開始-》搜索「cmd」-》右鍵「以管理員身份運行」（然鵝個人電腦並不容許我右鍵）

5.命令行輸入

• 問題思考：這個問題是屬於權限不夠，須要以管理員身份運行，與配置文件的位置無關。

實驗總結與體會

我關了360殺毒，開啓的360安全衛士，進行主機和kali的回連，運行了後門程序，並無報毒。

我感到一陣冰涼，並不知道本身的信息流失了多少，何時流失的，網絡世界確定是不安全的，可是我無能爲力。