20155324 《網絡對抗》惡意代碼分析

20155324 《網絡對抗》惡意代碼分析

實驗過程

一、計劃任務監控

在C盤根目錄下創建一個~netstatlog.bat~文件（先把後綴設爲txt，保存好內容後記得把後綴改成bat），內容以下：

出現的問題

文件名不能改爲~.bat~

解決：win10默認是不顯示後綴名的，只要打開文件夾選項，點擊查看並取消勾選上隱藏已知文件類型的拓展名便可。

~netstatlog.bat~文件的做用是將記錄的聯網結果按格式輸出到相同目錄下的~netstatlog.txt~文件中。

用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令建立一個任務，記錄每隔兩分鐘計算機的聯網狀況。

這個時候極易出現拒絕訪問的提示，咱們能夠用管理員權限打開命令提示符

Win10怎麼以管理員身份運行CMD命令提示符

建立任務成功就一直盯着txt文件，列出部分活動連接截圖

如今看一下兩分鐘一次的檢查，時間截圖以下：

二、sysmon工具監控

配置文件，使用老師提供的配置文件模板，簡單修改，把微信、360瀏覽器、QQ等放進了白名單，保存在了c盤。

配置好文件以後，要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令對sysmon進行安裝：

啓動以後，即可以到事件查看器裏查看相應的日誌：

我查看了其中一部分事件的詳細信息，好比這個事件是以前作計劃任務時所建立的：

事件1（dllhost進程）：

事件2（360）：

事件3（微信）：

事件5(qq拼音):

不知道爲何只有事件1235 沒有4.

在網上找了個關於事件4的博客，至於因爲時間的緣由就沒有去嘗試，之後有時間但願能嘗試一下。

javascript基礎：事件4事件綁定及深刻

3、使用virscan分析惡意軟件

• 使用上一次的網站掃描，在virscan網站上查看上次實驗所作的後門軟件的文件行爲分析：

• 能夠看到其啓動回連主機的部分IP地址以及端口號，還有對註冊表鍵值進行了刪除

• 還有反調試和建立事件對象的行爲

4.systracer註冊表分析

首先下載，systracer下載網址

五、聯網狀況分析

在後門程序回連時，在主機的命令行中用netstat -n命令查看TCP鏈接的狀況，能夠發現其中有進行回連的後門程序

• 回連時創建tcp鏈接
  

使用wireshark進行抓包後能夠看到，其先進行了TCP的三次握手，以後再進行數據的傳輸，如圖所示，帶有PSH,ACK的包傳送的就是執行相關操做指令時所傳輸的數據包：

使用PEiD分析惡意軟件

• PEiD是一個經常使用的的查殼工具，能夠分析後門程序是否加了殼:

使用Process Monitor分析惡意軟件

使用Process Explorer分析惡意軟件

• 打開Process Explorer，在Process欄點開explorer.exe前面的小加號，運行後門程序5324test32.exe，界面上就會出現它的基本信息。

雙擊後門程序那一行，點擊不一樣的頁標籤能夠查看不一樣的信息：

其調用的ntdll庫，ntdll.dll是重要的Windows NT內核級文件,描述了windows本地NTAPI的接口。當Windows啓動時，ntdll.dll就駐留在內存中特定的寫保護區域，使別的程序沒法佔用這個內存區域。

基礎問題回答

• 若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

1. 可使用systracer工具比較某個程序的執行先後計算機註冊表、文件、端口的變化狀況。
2. 可使用Wireshark進行抓包分析，而後查看該程序聯網時進行了哪些操做。
3. 使用netstat命令設置一個計劃任務，指定每隔必定時間記錄主機的聯網記錄等等。
4. 能夠經過sysmon工具，配置好想記錄事件的文件，而後在事件查看器裏面查看相關文件。

實踐總結與體會

我發現了，老師在課上教咱們使用了好多工具和方法來分析，正好用在了此次的實驗上，果真知識都是聯合起來使用的啊.