20155308《網絡對抗》Exp4 惡意代碼分析

20155308《網絡對抗》Exp4 惡意代碼分析

實踐說明

實踐目標

• 是監控你本身系統的運行狀態，看有沒有可疑的程序在運行。

• 是分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。

• 假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行爲與性質。

基礎問題回答

1. 若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

• 使用Windows自帶的schtasks指令設置一個計劃任務，指定每隔必定時間記錄主機的聯網記錄或者是端口開放、註冊表信息等等；
• 經過sysmon工具，配置好想記錄事件的文件，以後在事件查看器裏找到相關日誌文件即可以查看；
• 使用Process Explorer工具，監視進程執行狀況，查看是否有程序調用了異常的dll庫之類的。

1. 若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

• 使用Wireshark軟件進行抓包分析，查看該程序聯網時進行了哪些操做；
• 使用systracer工具分析某個程序執行先後，計算機註冊表、文件、端口的一些變化狀況。

實踐過程

1.使用schtasks指令監控系統

• 先在C盤目錄下創建一個netstatlog.bat文件，用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中，netstatlog.bat內容爲：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

（可先建立txt文本文件，使用記事本寫入後經過修改文件名來修改文件格式）

• 使用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"命令建立計劃任務netstatlog

• 打開任務計劃程序，能夠看到咱們新建立的這個任務

• 雙擊這個任務，點擊操做並編輯，將「程序或腳本」改成咱們建立的netstatlog.bat批處理文件

• 運行以後出現這個問題：

• 緣由是個人權限不夠高。解決方法是：將「使用最高權限運行」打上勾。

• 等幾分鐘後在「netstatlog.txt」文件中有聯網記錄

2.使用sysmon工具監控系統

• sysmon微軟Sysinternals套件中的一個工具，能夠從碼雲項目的附件裏進行下載，要使sysmon
  工具先要配置文件，我直接用的是老師給的配置文件

• 建立配置文件Sysmon20155308.xml。

• 使用Sysmon.exe -i C:\Sysmon20155308.xml安裝sysmon。

• 對配置文件進行修改，將本身感興趣的過濾器事件和過濾器事件的選項寫入。

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• 使用Sysmon.exe -c C:\Sysmon20155308.xml，將sysmon按照修改好的配置文件進行更新。

• 啓動以後，即可以到事件查看器裏查看相應的日誌

這個是我進行360安裝所建立的。

3.使用systracer工具分析惡意軟件

• 下載安裝Systracer。
• 在打開後門前先快照一下，點擊「take snapshot」：

• Kali打開msfconsole,完成相關設置後開始監聽，Windows運行後門後，拍攝快照

• 進行分析：點擊Applications->Running Processes->找到後門進程->點擊「Opened Ports」查看回連地址、遠程地址和端口號：

• 在快照界面「Snapshots」右下角點擊「Compare」，比對一下回連先後計算機發生的變化

• 對註冊表中hkey_local_machine根鍵的System子鍵進行了修改

• 能夠看到它啓用了不少dll文件

4.使用virscan分析惡意軟件

• 在virscan網站上查看上次實驗所作的後門軟件的文件行爲分析：

5.使用PEiD分析惡意軟件

• 取一個上次實驗生成的，沒有加殼的木馬，其檢測結果以下

• 使用UPX加殼後，PEiD成功檢測出了加殼的相關信息

6.使用Process Monitor分析惡意軟件

• Process Monitor一款系統進程監視軟件，整體來講，Process Monitor至關於Filemon+Regmon，其中的Filemon專門用來監視系統 中的任何文件操做過程，而Regmon用來監視註冊表的讀寫操做過程。 有了Process Monitor，使用者就能夠對系統中的任何文件和 註冊表操做同時進行監視和記錄，經過註冊表和文件讀寫的變化， 對於幫助診斷系統故障或是發現惡意軟件、病毒或木馬來講，很是 有用。 這是一個高級的 Windows 系統和應用程序監視工具，由優秀的 Sysinternals 開發，而且目前已併入微軟旗下，可靠性自不用說。

• 打開軟件，能夠看出其對各個進程的詳細記錄：

實驗總結與體會

經過本次實驗，我學會運用一些軟件對惡意代碼進行監測和分析，雖然這種檢測的方法比較簡單，並且不必定適用於咱們生活中的大部分的後門程序，可是咱們能夠經過對這些軟件的應用，進行學習，打下基礎，對之後咱們檢測後面程序、增強本身電腦的保護有必定的做用。