20145322 《網絡攻防》惡意代碼分析

20145322 《網絡攻防》惡意代碼分析

1、基礎問題回答

1.總結一下監控一個系統一般須要監控什麼、用什麼來監控。

一般監控如下幾項信息：

系統上各種程序和文件的行爲記錄以及權限

註冊表信息的增刪添改

監控軟件：

TCPview工具查看系統的TCP鏈接信息

wireshark進行抓包分析

sysmon用來監視和記錄系統活動

2.若是在工做中懷疑一臺主機上有惡意代碼，請設計下你準備如何找到對應進程、惡意代碼相關文件。

使用tcpview工具檢測有哪些程序在進行網絡鏈接

使用PE解析軟件查看可疑進程的詳細信息，查看其是否加殼，分析調用的DLL及其函數用途

去專業網站掃描可疑進程，查看測評分數也可分析文件行爲

使用抓包軟件分析進程網絡鏈接傳輸的數據

使用Dependency Walker來分析是否有關於註冊表的異常行爲等。

2、實踐過程記錄

1.惡意代碼的靜態分析

在專業網站進行測試：

分析文件行爲：

結果有創建到一個指定套接字鏈接的行爲、自行刪除註冊表鍵和值的行爲以及檢測自身是否被調試的行爲。

2.使用PE解析軟件查看可疑進程的詳細信息

經過「導入表（Import）」，查看這個程序都調用了哪些dll文件：

ADVAPI32.dll：調用這個dll能夠實現對註冊表的操控，

WSOCK32.dll和WS2_32.dll：用於建立套接字，即會發生網絡鏈接。

使用PEID

Nothing found 說明沒加殼，不識別該編譯器。

此時能夠查看反彙編以後的代碼：

使用Dependency Walker

從上圖可知，經過查看DLL文件的函數，該可執行文件會刪除註冊表鍵和註冊表鍵值。

TCPview工具

經過查看每一個進程的聯網通訊狀態，初步判斷其行爲。

SysTracer工具

打開攻擊機msfconsle，開放監聽；win7下對註冊表、文件、應用狀況進行快照，保存爲Snapshot #1

win7下打開木馬test.exe，回連kali，win7下再次快照，保存爲Snapshot #2

kali中經過msf發送文件給win7靶機，win7下再次快照，保存爲Snapshot #4

kali中對win7靶機進行屏幕截圖，win7下再次快照，保存爲Snapshot #3

經過「compare」操做來比較每次快照文件的區別。

對比Snapshot #1和Snapshot #2，能夠看到註冊表裏面出現了新的端口。

對比Snapshot #2和Snapshot #3 安裝到目標機時，文件內容監控發現多了個文件。

對比Snapshot #4和Snapshot #3。能夠發現啓動回連時註冊表發生變化了，截屏時註冊表也發生了變化。

netstat命令設置計劃任務

在D盤中建立一個netstat5322.bat文件

在TXT中寫：

date /t >> d:\netstat5322.txt

time /t >> d:\netstat5322.txt

netstat -bn >> d:\netstat5322.txt

新建一個觸發器:

操做選項欄的啓動程序設爲咱們的netstat5322.bat，參數爲>>d:\netstat5322.txt。

運行任務，發現d盤下出現netstat5322.txt文件，可是沒有顯示出咱們想要的網絡鏈接記錄信息，而是顯示了「請求的操做須要提高」,用管理員權限運行便可。