2017-2018-2 20155309南皓芯 Exp4 惡意代碼分析

實驗後回答問題

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

答：我會使用sysmon工具來進行監控，能夠天天晚上查看一下監控到的信息，還能夠利用篩選工具對數據進行分析，監控網絡鏈接，是否建立新的進程，註冊表項目以及系統日誌。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

答：最簡單的方法就是使用Virscan等網站進行掃描進行分析，複雜一點的話，能夠本身使用wireshark抓包而後再對抓到的數據進行分析，還能夠將數據製表找到規律。

實踐目標

1.1是監控你本身系統的運行狀態，看有沒有可疑的程序在運行。

1.2是分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。

1.3假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行爲與性質。

實踐內容

2.1系統運行監控

（1）使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。

（2）安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。
參考：schtask與sysmon應用指導
實際日誌的分析還須要發揮下本身的創造力，結合之前學過的知識如linux的文本處理指令等進行。分析的難點在於從大量數據中理出規律、找出問題。這都依賴對結果過濾、統計、分類等進一步處理，這就得你們會什麼用什麼了。

2.2惡意軟件分析（1.5分）

分析該軟件在

(1)啓動回連，

(2)安裝到目標機

(3)及其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。該後門軟件

（3）讀取、添加、刪除了哪些註冊表項

（4）讀取、添加、刪除了哪些文件

（5）鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）

實驗過程

使用Windows計劃任務schtasks監控系統運行

輸入命令：

schtasks /create /TN 20155309netstat /sc MINUTE /MO 1 /TR "c:\netstatlog.bat"

建立計劃任務netstat

指令解釋：

TN：Task Name，本例中是netstat

SC: SChedule
type,本例中是MINUTE,以分鐘來計時
TR: Task Run，要運行的指令是 netstat -bn,b表示顯示可執行文件名，n表示以數字來顯示IP和端口

此命令完成後，每1分鐘就會監測哪些程序在使用網絡，並把結果記錄在netstatlog.txt文檔裏，爲了顯示日期和時間，咱們經過bat批處理文件來實現。

在C盤建立一個文件netstatlog.bat，內容爲：

date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt

保存後修改文件名爲「netstatlog.bat」；

粘貼到C盤中，這是須要用管理員權限；

能夠右鍵點擊「編輯」用記事本查看bat文件內容。

第三步：編輯任務操做：
1.進入任務計劃程序：「win+c」選擇「設置」->進入「控制面板」->選擇「管理工具」->進入「任務計劃程序」

2.找到咱們的任務20155309netstat，雙擊點開

3.點擊下方「操做」->右側所選項欄中「屬性」->屬性頁面上方的「操做」

4.雙擊任務進入「編輯操做」界面

5.在程序腳本處點擊「瀏覽」->選擇剛纔建立的「netstat.bat」，「參數可選項」爲空

6.點擊「肯定」完成修改，詳細信息處以下圖：

7.查看netstat.txt文件，已經有了時間的記錄，至此完成了任務的建立

每隔五分鐘監控以下圖：

等待一直兩天；
這裏須要一直保持開機聯網狀態，才能持續監控。

此外，若是發現netstatlog.txt沒有每分鐘更新一次，多是由於設置時默認選擇了「只有計算機使用交流電源時才啓用此任務」，因此一旦咱們不給電腦充電，任務就無法運行。解決方法就是在netstat任務屬性的設置中取消選中該選項，以下圖所示，而後就能夠發現每隔一分鐘命令行會閃現一下，其中包含netstatlog.bat中的三行指令，netstatlog.txt本身就隨之更新了。

接下來咱們用excel分析數據

咱們要將netstatlog.txt的內容導入到Excel中。我使用的是WPS，依次點擊：數據（選項卡）——導入數據——直接打開數據文件——選擇數據源（找到netstatlog.txt所在文件夾，並選中）——打開。

將文本進行分割成excel表。
文件轉換頁面直接「下一步」

文本導入嚮導步驟1 ，文件類型必定要選擇分隔符號；步驟2，分隔符號選擇空格；步驟三，選擇常規。

最後點擊完成，就能夠看到數據導入成功了

第六步：對數據進行統計學分析：

1.首先查看全部聯網程序的聯網次數，具體excel操做以下：

①首先選中咱們要分析的列：

②其次點擊上方「插入」->「數據透視圖」

③默認選擇在一個新工做表中生成

能夠發現生成了一個很是直觀的數據透視表

在其中，咱們能夠發現瀏覽器與藍墨雲筆記用的十分多。

2、系統監控——Sysmon工具
Sysmon是微軟Sysinternals套件中的一個工具，能監控幾乎全部的重要操做。

• Sysmon安裝配置
  1.根據在實驗指導中的連接Sysinternals套件，下載Sysinternals Suite，而後解壓。
  2.接下里，咱們來新建並編輯配置文件C:\Sysmoncfg.txt。exclude至關於白名單，裏面的程序或IP不會被記錄，include至關於黑名單，你們能夠把本身想監控的寫到黑名單中~
  3.下面，咱們來安裝sysmon：

sysmon.exe -i Sysmoncfg.txt

注：配置文件修改後，須要用指令更新一下：
sysmon.exe -c config_file_name

須要本身配置文件

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

注：配置文件修改後，須要用指令更新一下：
sysmon.exe -c config_file_name

安裝 sysmon

依次次打開 ：開始——事件查看器——應用程序和服務日誌——Microsoft————Windows——Sysmon——Operational，既能夠看到以下圖所示的信息啦：

不一樣事件ID分析
5.能夠看到系統一些具體活動。

事件識別碼1 :進程創建
事件識別碼2 :進程更改了文件建立時間
事件識別碼3 :網絡鏈接
事件識別碼4 : Sysmon服務狀態已變動
事件識別碼5 :進程已終止
事件識別碼6 :已載入驅動程式
事件識別碼7 :已載入影像
事件識別碼8 :建立遠程線程
事件識別碼9 : RawAccessRead
事件識別碼10 :進程訪問
事件識別碼11 :文件建立
事件識別碼12 :註冊事件(建立和刪除對象)
事件識別碼13 :註冊事件(值集)
事件識別碼14 :註冊事件(鍵和值重命名)
事件識別碼15 :文件建立流哈希
事件識別碼255 :錯誤

這個的事件識別碼是3，證實與本地的互聯網創建了鏈接。

這個事件識別碼是1， conhost.exe是電腦觸摸板相關程序。在使用觸摸板時，創建進程。

該進程事件識別碼是5，終止進程，Scmd.exe是MirosoftWindowsVista桌面搜索協議信程序

4.利用Sysmon具體分析日誌的例子我選擇了本身實驗二中生成的後門20155309_backdoor.exe進行分析

使用Systracer分析惡意軟件

直接用漢化版的就是爽啊。

打開界面：

點擊建立快照，若以下圖沒有全選，能夠選擇——僅掃描指定項，而後將下面的全選，以後就能夠點擊開始啦，接着耐心等待，掃描結束以後會彈出一個框，點擊OK，快照就會本身保存下來~

接下來是有後門的分析

而後作的是後門回連的分析

接下來咱們再作一個dir

來一個keyscan_start的擊鍵記錄

screenshot抓屏走起

來進行差別分析：

讓咱們再用process explorer來分析一下

最後用peid分析一波

大功告成。

遇到的問題

問題2：在安裝Sysmon時，出現下圖錯誤，顯示我配置文件中的版本時3.10，可是實際下載的版本是4.00，不匹配致使安裝失敗。

改用版本便可成功