2018-2019-2 網絡對抗技術 20165227 Exp4 惡意代碼分析

2018-2019-2 網絡對抗技術 20165227 Exp4 惡意代碼分析

實驗步驟:

  • 使用的設備:Win7(虛擬機)、kali(虛擬機)

實驗一:使用如計劃任務,每隔一分鐘記錄本身的電腦有哪些程序在聯網,鏈接的外部IP是哪裏。運行一段時間並分析該文件,綜述一下分析結果。目標就是找出全部連網的程序,連了哪裏,大約幹了什麼(不抓包的狀況下只能猜),你以爲它這麼幹合適不。若是想進一步分析的,能夠有針對性的抓包。

一、在win7命令行中輸入命令,建立任務計劃
算法

二、建立文本文檔,另存爲腳本「netstat5227.bat」,再拖入C盤中chrome

date /t >> c:\netstat5227.txt
time /t >> c:\netstat5227.txt
netstat -bn >> c:\netstat5227.txt

三、打開「任務計劃程序」,找到剛剛建立的進程任務,雙擊進行設置shell

(PS:須要在常規頁面裏開啓以最高權限執行 不然會出現不能運行的狀況)網絡

四、過了第一個五分鐘後,txt中就會有更新的內容
工具

五、將txt文件導入excel進行統計分析

命令行

實驗二:安裝配置sysinternals裏的sysmon工具,設置合理的配置文件,監控本身主機的重點事可疑行爲

一、建立sysmon5227.txt 做爲配置文件3d

<Sysmon schemaversion="4.20">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

二、進入sysmon 解壓的路徑執行sysmon.exe -i C:\sysmon\sysmon5227.txt 進行安裝
excel

三、進入事件查看器
code

四、進入kali,打開msfconsole,win7運行後門進行回連
blog

五、查詢到進程號

六、在事件查看器裏以進程號查找關鍵字

實驗三:使用各類軟件進行惡意軟件分析

一、使用VirusTotal分析惡意軟件

  • 在其中能獲得SHA-一、MD5摘要值、文件類型、大小、TRiD文件類型識別結果和算法庫支持狀況

二、使用Process Monitor分析惡意軟件

  • 獲得進程號

  • 使用程序中的filter 功能查找到進程

  • 獲得結果

三、使用Process Explorer分析惡意軟件

  • 運行後門,打開軟件分析

四、使用PEiD分析惡意軟件

  • 打開軟件,先分析未帶殼的後門程序

  • 再分析帶殼的

五、使用systracer分析惡意軟件

  • 合理運用快照比對分析,可以分析惡意軟件運行狀況
  • 保存了兩個快照:Snapshot #1是運行後門前;Snapshot #2是運行後門後

  • 經過compare發現註冊表出現了改動

  • 查看「opened handles」,進行對比

  • 查看"open port",進行對比

實驗問題

  • 在建立netstat5227.bat 時候,運行發現對應的txt文件沒有更新
  • 解決:在任務計劃程序中的設置應該改成以最高權限運行 ,不然權限不夠不能運行

實驗感想

  • 此次的實驗目的是分析惡意代碼,在實驗過程當中知道了許多分析軟件,也是知道了殺毒軟件幹不了的活,分析軟件能很好地完成,本身至關於多了一項技能,同時也對後門程序的運行情況有了更深的理解
相關文章
相關標籤/搜索