網絡對抗 Exp4 惡意代碼分析 20154321 何思影

Exp4 惡意代碼分析

1、實踐目標

1.監控本身系統的運行狀態，看有沒有可疑的程序在運行。

2.分析一個惡意軟件，分析Exp2或Exp3中生成後門軟件。

2、實踐步驟

1.系統運行監控

使用 netstat 定時監控

首先建立一個txt文件，用來將記錄的聯網結果按格式輸出到netstatlog.txt文件中，內容爲：

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

更改後綴名爲bat（批處理文件），右鍵開始菜單打開命令提示符（管理員模式，否則權限不夠）輸入指令 schtasks /create /TN 20154321 /sc MINUTE /MO 2 /TR "c:\20154321.bat（上面建立的文件） 建立間隔2分鐘的計劃任務。

 

 

過一段時間等收集到足夠多的數據後，建立一個excel在數據選項卡中選擇導入數據，選中保存的netstatlog.txt文件，設置使用 分隔符號 ，並勾選所有分隔符號。

單擊數據透視表，選中進程那一列，建立到新的工做表中，把字段拉到行和值中，選爲計數，就獲得各進程的活動數了

再看看外部網絡鏈接

相比進程多了好多，應該是瀏覽器瀏覽不一樣地址形成的。

 

使用 sysmon 工具監控

首先配置sysmon，建立一個txt文件，輸入配置信息，可根據需求增添刪改。

管理員模式運行cmd，用cd指令轉到sysmon目錄，輸入指令 sysmon.exe -i 20154321.txt（若是配置文件與sysmon.exe不在同一目錄，須要輸入配置文件的目錄），跳出安裝窗口後贊成完成安裝。

啓動sysmon以後能夠在 右鍵個人電腦——管理——事件查看器——應用程序和服務日誌——Microsoft——Windows——Sysmon——Operational 查看日誌文件。

找到了我本身啓動本身製做的後門文件

2.惡意代碼分析

使用virscan分析惡意軟件

在virscan網站上對上次實驗中C語言調用shellcode直接編譯的後門文件作行爲分析

能夠看到攻擊方主機的部分IP及端口號，且說明了有刪除註冊表鍵和鍵值、檢測自身是否被調試以及建立事件對象的行爲。

使用SysTracer分析惡意軟件

首先下載，安裝很簡單雖然是英文版，以後捕獲快照。
點擊take snapshot來快照，創建4個快照，分別爲：
snapshot#1 後門程序啓動前，系統正常狀態
snapshot#2 啓動後門回連Linux
snapshot#3 Linux控制windows查詢目錄
snapshot#4 Linux控制windows在桌面建立一個路徑

對比前，咱們先看下他的規則

先對比下1，2兩種狀況：

能夠看到打開後門後修改了以上兩項註冊表的內容，在應用（Application）——打開端口（Opened Ports）中能看到後門程序回連的IP和端口號。

對比3，4狀況：

使用Process Monitor分析惡意軟件

 啓動後會抓到很是多的進程數據，能夠點出工具——進程樹便利查看，多了堆棧信息

能看出後門程序運行起來後確實與explorer.exe有很大的關係

在進程樹中找到後門進程右鍵轉到事件，能夠在主窗口中找到程序，能直接看到回連的IP地址和端口號

使用Process Explorer分析惡意軟件

 打開process explorer後，接着運行後門程序回連，發現個人後門程序以紫色高亮身份顯示

三·基礎問題

1.若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

應當首先更新病毒庫，並對敏感懷疑位置進行病毒查殺，若是沒有找到，應該開啓相關病毒掃描引擎，對計算機進行動態掃描，監控主機鏈接狀況，統計結果後找出可疑的Ip地址和端口號，可對這些ip和端口進行有針對性的抓包，查看有無創建套接字等可疑的行爲、查看有無可疑的傳輸內容等，還能夠經過systracer等查看註冊表、進程等的變化。

2.若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

使用systracer，在打開進程先後分別takeshot，對比先後兩張快照課獲得進程有哪些行爲。

4、實驗體會

此次實驗用到的軟件比較多，瞭解到了不少監聽電腦的程序，這對我來講仍是比較好奇的，整體來說這些軟件對咱們本身電腦的安全來講仍是頗有幫助的。關於查實驗時的問題，我會進一步注意。盡最大努力去學，進可能弄懂更多的問題，能學到更多的東西也覺莫大的寬慰.