2018-2019-2 網絡對抗技術 20165227 Exp4 惡意代碼分析

2018-2019-2 網絡對抗技術 20165227 Exp4 惡意代碼分析

實驗步驟：

• 使用的設備：Win7（虛擬機）、kali（虛擬機）

實驗一：使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。

一、在win7命令行中輸入命令，建立任務計劃

二、建立文本文檔，另存爲腳本「netstat5227.bat」，再拖入C盤中

date /t >> c:\netstat5227.txt
time /t >> c:\netstat5227.txt
netstat -bn >> c:\netstat5227.txt

三、打開「任務計劃程序」，找到剛剛建立的進程任務，雙擊進行設置

（PS：須要在常規頁面裏開啓以最高權限執行 不然會出現不能運行的狀況）

四、過了第一個五分鐘後，txt中就會有更新的內容

五、將txt文件導入excel進行統計分析

實驗二：安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲

一、建立sysmon5227.txt 做爲配置文件

<Sysmon schemaversion="4.20">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

二、進入sysmon 解壓的路徑執行sysmon.exe -i C:\sysmon\sysmon5227.txt 進行安裝

三、進入事件查看器

四、進入kali，打開msfconsole，win7運行後門進行回連

五、查詢到進程號

六、在事件查看器裏以進程號查找關鍵字

實驗三：使用各類軟件進行惡意軟件分析

一、使用VirusTotal分析惡意軟件

• 在其中能獲得SHA-一、MD5摘要值、文件類型、大小、TRiD文件類型識別結果和算法庫支持狀況
  

二、使用Process Monitor分析惡意軟件

• 獲得進程號
  

• 使用程序中的filter 功能查找到進程
  

• 獲得結果
  

三、使用Process Explorer分析惡意軟件

• 運行後門，打開軟件分析
  

四、使用PEiD分析惡意軟件

• 打開軟件，先分析未帶殼的後門程序
  

• 再分析帶殼的
  

五、使用systracer分析惡意軟件

• 合理運用快照比對分析，可以分析惡意軟件運行狀況

• 保存了兩個快照：Snapshot #1是運行後門前；Snapshot #2是運行後門後
  

• 經過compare發現註冊表出現了改動
  

• 查看「opened handles」，進行對比
  

• 查看"open port"，進行對比
  

實驗問題

• 在建立netstat5227.bat 時候，運行發現對應的txt文件沒有更新
• 解決：在任務計劃程序中的設置應該改成以最高權限運行 ，不然權限不夠不能運行

實驗感想

• 此次的實驗目的是分析惡意代碼，在實驗過程當中知道了許多分析軟件，也是知道了殺毒軟件幹不了的活，分析軟件能很好地完成，本身至關於多了一項技能，同時也對後門程序的運行情況有了更深的理解