20154319實驗四 惡意代碼分析

 

1、實驗內容

1.監控本身系統的運行狀態，看有沒有可疑的程序在運行。

2.分析一個惡意軟件，分析Exp2或Exp3中生成後門軟件。

2、實驗後問題回答

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

答：我以爲此次實驗就給咱們提供了很好的方法，咱們能夠經過批處理設計windows計劃任務觸發器，定時觸發，所得數據在excel中分析獲得數據透視圖，最後對聯網次數較多的重點分析，可使用Sysmon 查看懷疑對象的日誌。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

答：能夠用SysTracer快照啊，經過先後對比來分析出變化；看其餘同窗的博客，還能夠用Wireshark工具抓包分析，以及Process Monitor能夠用來看看進程作了什麼。

3、實驗體會

此次實驗我能夠說是很悲慘了，一直開着本身手機的熱點作的，由於不知名的緣由個人後門回連能成功回連純粹是靠運氣。此次實驗下載了好幾個以前不認識的軟件用來分析惡意軟件，工具的使用並非很難，只是對於剛接觸的我來講，分析真是一件很難的事情，實際上寫在博客中的分析也是很淺顯的，之後要更加努力才行。Wireshark以前下載安裝有問題，就沒有作了。其次，在對系統監控的期間，發現了一些流氓軟件會自動鏈接網絡，給電腦運行形成一些沒必要要的麻煩，仍是關掉的比較好，嘻嘻。（實驗是分好幾個時間段完成的，因此用了好幾個後門程序。）

4、實踐過程

（一）系統運行監控

（1）輸入命令：schtasks /create /TN netstat /sc MINUTE /MO 2 /TR 「d:\netstatlog.bat」，實現每2分鐘記錄一下有哪些程序在鏈接網絡

（2）在d盤目錄下建一個文件d:\netstatlog.bat，內容爲

date /t >> d:\netstatlog.txt

time /t >> d:\netstatlog.txt

netstat -bn >> d:\netstatlog.txt

（3）經過「Windows->控制面板->管理工具->任務計劃程序」，找到個人任務

（注：將條件的電源那一欄的選項都去掉，不然斷電後就沒法運行）

（設置是執行一天，但數據統計只是其中的幾個小時了）

（4）打開記錄文件netstatlog.txt記事本，能夠看到每隔2分鐘記錄而且可以顯示日期和時間

一開始沒有注意沒有管理員權限：

設置之後能夠看到：

 

（5）複製到excel中，再進行統計分析。

導入數據：數據選項卡-獲取外部數據-來自文本，選擇文本netstatlog.txt,導入過程當中選擇分隔符號，分隔符號都選上，列數據格式選擇常規，完成導入

 

選擇一部分數據，使用數據透視工具分析獲得直觀的數據透視圖

 第一個選取了程序接入網絡的次數：

 

 

上網查詢瞭解瞭如下幾個聯網次數較多和我不熟悉的進程：

 1.qmdl.exe

是騰訊電腦管家的進程，QMDL.EXE是電腦管家的下載中心進程和更新病毒庫和下載補丁有關，是正常進程

2.AlibabaProtect.exe

這個看起來是阿里巴巴的程序，可是我那段時間我都沒有打開過阿里巴巴相關的網站，這是怎麼回事呢？

一查才知道不是阿里巴巴的程序，而是優酷的，如下是網友的回答，若是你們也有這個程序也是比較煩人的啊

「AlibabaProtect不只佔用大量內存和部分CPU，還在後臺監控你的一舉一動，而後給你精準推送廣告，是一個名副其實的流氓軟件，因此它不只僅是一個文件，仍是一個惡意軟件。AlibabaProtect是因爲優酷播放器強制安裝致使的，用戶能夠選擇卸載優酷客戶端來解決看看。」

解決方法的連接：www.xitongzhijia.net/xtjc/20180202/119631.html

第二個選取了程序接入網絡的IP：

上網查詢瞭解了一些IP地址：

1.次數最多的：

這個其實仍是有些不明白局域網是啥？？

2.奇怪的端口

 

鏈接到了深圳的IP？

（二）Sysmon

Sysmon是微軟Sysinternals套件中的一個工具。

（1）肯定監控目標爲網絡鏈接。

（2）配置文件：我用的配置文件1.txt。配置文件是xml文件，爲了簡單編輯就直接命令爲.txt。（第一個是排除的谷歌瀏覽器，要求的3種都有找到）

參考網址：http://www.freebuf.com/sectool/122779.html

<Sysmon schemaversion="4.00">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe.exe</Image>
</NetworkConnect>

<NetworkConnect onmatch="include">     
  <DestinationPort condition="is">80</DestinationPort>      
  <DestinationPort condition="is">443</DestinationPort>
  <DestinationPort condition="is">4319</DestinationPort>    
</NetworkConnect>

<FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
</FileCreateTime>

<ProcessCreate onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
</ProcessCreate>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

用事件查看器查看

 

1.進程建立

 

 

 

2.建立時間

 

 

3.網絡鏈接

 

（2）第二個把微軟的網頁排除，只找到了兩個，沒有建立時間

<Sysmon schemaversion="4.00">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">Microsoft Edge.exe</Image>
</NetworkConnect>

<NetworkConnect onmatch="include">     
  <DestinationPort condition="is">80</DestinationPort>      
  <DestinationPort condition="is">443</DestinationPort>
  <DestinationPort condition="is">4319</DestinationPort>    
</NetworkConnect>

<FileCreateTime onmatch="exclude" >
      <Image condition="end with">Microsoft Edge.exe</Image>
</FileCreateTime>

<ProcessCreate onmatch="exclude" >
      <Image condition="end with">Microsoft Edge.exe</Image>
</ProcessCreate>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

 

用事件查看器查看

1.進程建立

 

 

2.網絡鏈接

 

 

（3）啓動Sysmon（用事件查看器是在啓動以後，只是提早寫在配置文件以後了）

（強調用管理員身份運行cmd哦）

使用指令一鍵安裝    -accepteula -i -n 

 

 

修改以後，用-c參數更新一下sysmon -c xxx.xml

 

(上圖是出現了問題的，錯誤是版本號沒有改，以前還出現過其餘的錯誤，會有提示在第幾行)

（更新以後）

（三） 使用PEiD分析惡意軟件

使用PEiD軟件能夠查看惡意軟件的殼的相關信息，以及其所使用的編譯器版本

 

（四） 使用ThreatExpert分析惡意軟件

翻譯結果：

感受並無獲得什麼信息，只是制動了這個進程試圖與遠程主機創建鏈接，不過比較靠譜的是獲得了遠程主機的IP和端口號，能夠進行查詢

 

（五）SysTracer快照分析

（1）快照，我分別在如下四種狀況下進行快照:

Snapshot#1:不作任何操做，天然狀態；

Snapshot#2:windows運行後門程序回連kali；

Snapshot#3:新建一個文本文檔，並輸入內容；

Snapshot#4:鏈接結束。

 

（2）比較第一個和第二個

1.能夠看到註冊表中被修改了

 

 

 在應用項目在，回連kali運行後門程序因而running processes中新增了這一項

 

Opened Handles中新增了不少文件、設備信息以及子鍵

 

 

 在Opened Ports中，能夠看到源IP、回連IP、源端口、回連端口都能追蹤到

 

2.比較第一個和第三個

 Snapshot#3是新建一個文本文檔，並輸入內容，能夠看到file中新增了一個文件4319p

 

（六）使用Process Explorer分析惡意軟件

1.打開process explorer後，接着運行後門程序回連

 

2.雙擊點開進程，能夠看到一些進程的基本信息

3.在TCP/IP選項卡中能夠看到回連的Linux的IP地址和端口。

 

4.還有一個安全選項卡，可是看不懂

 

（七）使用Process Monitor分析惡意軟件

1. 啓動後會看到電腦如今運行的程序，能夠從工具選項中，選擇進程樹，能夠方便查看

 

2.在其中找到了後面程序43199.exe，能夠看到一些基本狀況，進入到只有43199.exe的界面，能夠看到從開始到如今進行的鏈接

3.截圖了其中有TCP鏈接的，點開查看詳情以下：

能夠看到路徑有從ZWL鏈接到4319端口。

4.看到有其餘同窗的博客找到了一個能夠的問題，我就在本身的下尋找，也同樣找到了，此處粘貼同窗的解釋「在進程信息中的模塊裏找到 advapi32.dll 百度說是包含函數與對象的安全性、註冊表的操控以及與事件日誌有關，仍是很重要的一個dll文件，一個無關程序莫名與其掛鉤，就很值得引發咱們懷疑。」