20155205 郝博雅 Exp4 惡意代碼分析

20155205 郝博雅 Exp4 惡意代碼分析

1、實驗目標

一、監控你本身系統的運行狀態，看有沒有可疑的程序在運行。

二、分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。

三、假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行爲與性質。

2、實驗內容

==系統運行監控==

1.使用Windows計劃任務schtasks監控系統運行

• 首先一個簡單的實現，每x分鐘記錄一下有哪些程序在鏈接網絡。

schtasks /create /TN netstat /sc MINUTE /MO （x爲本身設定的時間） /TR "cmd /c netstat -bn > c:\netstatlog.txt"

• 命令解釋：TN：Task Name，本例中是netstat；SC: SChedule type,本例中是MINUTE,以分鐘來計時；MO: MOdifier；TR: Task Run，要運行的指令是 netstat -bn,b表示顯示可執行文件名，n表示以數字來顯示IP和端口。

• 好比我記錄每兩分鐘的信息：

• 在C盤要目錄下建一個文件c:\netstatlog.bat（先把後綴設爲txt，保存好內容後把後綴改成bat），內容以下：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

• netstatlog.bat文件的做用是將記錄的聯網結果按格式輸出到相同目錄下的netstatlog.txt文件中。

• 接下來用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令建立一個任務，記錄每隔兩分鐘計算機的聯網狀況。這裏和以前不一樣的是將記錄的狀況輸入到了.bat後綴的文件中～

• 將txt文件中的內容導入excel

由於個人win7是剛裝的，以前的卡死了，因此什麼東西也沒有，本身不聯網的話啥都捕捉不到。。。

2.使用Sysmon工具監控系統運行

• 使用老師提供的txt文件內容配置名稱爲5205.txt的配置文件，進入sysmon所在目錄後輸入sysmon.exe -i c:\5205.txt指令進行更新。

• 啓動以後，即可以到事件查看器裏查看相應的日誌，在"運行"窗口輸入
  eventvwr（多等一下子） 命令打開應用程序和服務日誌，並能夠根據Microsoft->Windows->Sysmon->Operational路徑找到記錄文件：

• 在kali上生成後門，放入win裏後回連，能夠在sysmob看到有關信息

==惡意軟件分析==

使用systracer進行分析

• 點擊take snapshot，存儲三個快照：

1.將後門植入到目標主機中後；

2.後門啓動回連時；

3.後門運行時。

• 剛植入時的快照

• 啓動回連後的快照，能夠看到後門的目標及源ip和端口信息

使用systracer的compare對比快照1和快照2，選中only differences查看不一樣

• 能夠看到註冊表裏這些被修改了

• 能夠看的只有HKEY_CURRENT_USER裏的內容（爲啥咧）

• 在文件中多了systracer日誌文件

• applications裏多了特別多，可見進行回連時執行了不少操做

使用systracer的compare對比快照3和快照2，選中only differences查看不一樣

• applications裏明顯沒那麼多了，主要是對桌面進行上的內容進行了列舉

3、遇到的問題

【第一個小問題】：出現了「拒絕訪問」的提示，百度了一下須要單擊開始 輸入「命令提示符」， 鼠標右鍵單擊相應的搜索結果單擊 「以管理員身份運行」。經過這樣的方式打開以後cmd會變成這樣滴：

【第二個小問題】：運行了好久netstatlog.txt一點內容都沒有，後來查看了一下任務條件，發現充電是必需條件。。。。。好吧，接上個人電源。（爲以後作實驗方即可以直接把這個條件去掉）

4、問題回答與實驗感想

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

答：經過實驗我知道可使用Windows計劃任務schtasks監控系統運行；在信息系統安全上咱們學到不少黑客攻擊均可以調用cmd，所以能夠對cmd的運行狀態進行監控。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

答：sysmon能夠獲得有關惡意軟件的信息有名稱，時間，使用協議，源和目的ip等信息；systracer快照也能夠對比得出一些有用信息。

• 實驗感想：分析分析，就是要從對比中找到不一樣從而獲取信息。