20155219付穎卓《網絡攻防》Exp4 惡意代碼分析

1、基礎問題回答

• 若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

能夠用window7自帶的schtasks，或者下載Sysmon進行對電腦的監控，不過度析起來，須要每個都點開看，比較繁瑣。或者使用wireshark抓包檢測流量等進行分析，對於每一包分析起來有不少數據進行輔助，好比端口信息啦，源ip地址啦；或者使用PE Explore分析惡意軟件裏的內容，還有就是病毒分析網站自帶的文進行文分析報告，咱們也能夠從哪裏讀取一些咱們須要的數據。

• 若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

去網站上掃描分析文件、用Wireshark進行抓包分析、systracer查看具體進程改變的註冊表信息、sysmon用來監視和記錄系統活動看看日誌分析什麼的、等等一系列上面的。若是能熟練掌握上述工具，能作到更好的網絡攻防了。

實踐內容

1.使用schtasks指令監控系統運行

在C盤目錄下創建一個netstatlog5219.bat文件，用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中，netstatlog.bat內容爲：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

2.在命令行中輸入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "d:\netstatlog.bat"建立任務，每隔兩分鐘記錄聯網內容

獲得建立的txt文件

3.打開netstatlog.txt文件查看記錄內容，剛開始打開的時候出現如下問題：

多是權限不夠，設置爲以管理員身份運行以後仍然沒法完成聯網記錄。出現的問題和上面同樣，我去翻學長學姐的博客發現他們並無很好地解決這個問題。因而我上網搜索，看了不少辦法。

給你所須要程序右鍵屬性-兼容性-以管理員身份運行此程序
只在計劃任務裏設置最高權限運行沒用...必須相應的程序也設置

獲得瞭解答。

因而成功了，下面貼上一些主要步驟的圖片。

打開計劃任務，運行netstatlog這個任務。

右鍵，屬性將如圖所示的按鈕點亮，問題終於解決了。

下面進行相關分析

進程監控到的有騰訊安全管家
、有道雲筆記、
UC瀏覽器等（其中有一些我也不知道是什麼的.exe =_=）。

二 ，安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

先下載好sysmon，地址在這Sysmon v7.01

首先要對軟件進行配置，如下是一些說明：記錄全部網絡鏈接就能夠簡單寫爲 * ，不寫的不記錄。
通常都是寫成相似下面的規則，會過濾掉一些。exclude至關於白名單，是那些不用記錄的內容。include至關於黑名單。對於通常的使用電腦的人來講使用白名單更安全，凡是不瞭解都記錄。

如下爲xml文件

<Sysmon schemaversion="4.00">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    
    <NetworkConnect onmatch="exclude">//監控白名單
      <Image condition="end with">vmware.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
      <Image condition="end with">WeChat.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">// 監控黑名單
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

安裝完成以後，看看sysmon是否在運行。

如圖所示，已經在運行中。
打開事件查看器，以下圖：

作一些活動後，查看sysmon的一些記錄，我有以下發現：
這個是我用IE瀏覽器的顯示

這個是我使用wireshark時的顯示：

以後使用kali進行後門回連。

sysmon當即捕捉到後門程序的運動

以後使用查找功能，進行篩選，不然在2000+個選項中選出你想要的是很難的，以下圖：

咱們能夠清楚地看到後門程序是如何一步步潛入咱們的電腦中的。

首先是網絡鏈接檢測

以後是進程建立，以後再kali端就能夠對本機電腦進行操做了。

操做完成後，在kali端退出監聽，事件查看器中也顯示了進程終止的顯示。

由此就完成了一次完整的監視。

3、使用SysTracer工具分析惡意軟件

1.使用SysTracer工具創建如下五個快照：

• 1.一開始在目標主機上進行快照保存爲Snapshot #1；
• 2.在虛擬機中生成後門軟件，將文件傳到目標主機後快照保存爲Snapshot #2；
• 3.在虛擬機開啓監聽的狀況下，在目標主機運行後門程序後快照保存爲Snapshot #3；
• 4.在虛擬機對目標主機進行截圖後在目標主機中快照保存爲Snapshot #4；
• 5.在虛擬機獲取目標主機攝像頭後在目標主機快照保存爲Snapshot #5.

2.快照結果比對分析：

（1）快照1和快照2：

能夠看到在ncat文件夾下多了咱們傳輸的backdoor.exe：

也能夠看到在傳輸過程當中有網絡訴求

（2）快照2和快照3：

成功回連以後發現增長了一些註冊表鍵

（3）快照3和快照4：

註冊表信息又有變化

4）快照4和快照5：

獲取目標主機攝像頭後快照發現傳輸過來的程序有網絡訴求

4、使用wireshark分析惡意代碼文件傳輸狀況

1.經過虛擬機向目標主機發送惡意代碼，使用wireshark進行抓包，咱們抓到了虛擬機與主機的三次握手包

2.創建鏈接以後具體看一下數據包的內容，這個包是從虛擬機發到主機的，端口是5219，使用IPv4協議

3.同時wireshark還捕捉到個人虛擬機和其餘IP地址的鏈接狀況。

4、使用virscan分析惡意軟件

1.在病毒分析網站上分析以前咱們本身生成的後門程序

（1）發現有21/39的殺軟可以查殺到這個惡意代碼

（2）能夠根據下圖看到這個代碼由PACKER:UPolyX v0.5加的殼

（3）此病毒能創建到一個指定的套接字鏈接，而且可以刪除註冊表鍵和註冊表鍵值

5、使用PE Explore分析惡意軟件

1.使用PE Explore打開可執行文件，能夠看出文件的編譯時間是2009年7月7日00：09：45，連接器版本號爲6.0

2.看一下這個文件的導入表中包含的dll文件：

（1）ADVAPI32.dll可實現對註冊表的操控

（2）WSOCK32.dll和WS2_32.dll用於建立套接字

實驗總結與體會

本次實驗對本身的主機進行了一些監控，發現有一些惡意代碼殺軟真的檢測不出，一些程序真的是默默地在計算機裏搞一些事情，甚至在沒有開機的狀況下，均可以進行一些鏈接。之後不能只靠着殺毒軟件了，咱們學習的還都只是皮毛，有太多的咱們不知道的東西潛伏者，咱們應該在平時多多提升防範意識，多用老師提供的軟件進行實時監測，在之後的學習工做中絕對會受益不淺的。仍是那句話，要靠本身啊。。。