網絡對抗 Exp4 惡意代碼分析 20154321 何思影

Exp4 惡意代碼分析

1、實踐目標

1.監控本身系統的運行狀態,看有沒有可疑的程序在運行。shell

2.分析一個惡意軟件,分析Exp2或Exp3中生成後門軟件。windows

2、實踐步驟

1.系統運行監控

使用 netstat 定時監控瀏覽器

首先建立一個txt文件,用來將記錄的聯網結果按格式輸出到netstatlog.txt文件中,內容爲:安全

date /t >> c:\netstatlog.txt網絡

time /t >> c:\netstatlog.txt工具

netstat -bn >> c:\netstatlog.txt網站

更改後綴名爲bat(批處理文件),右鍵開始菜單打開命令提示符(管理員模式,否則權限不夠)輸入指令 schtasks /create /TN 20154321 /sc MINUTE /MO 2 /TR "c:\20154321.bat(上面建立的文件) 建立間隔2分鐘的計劃任務。設計

 

 

過一段時間等收集到足夠多的數據後,建立一個excel在數據選項卡中選擇導入數據,選中保存的netstatlog.txt文件,設置使用 分隔符號 ,並勾選所有分隔符號。3d

單擊數據透視表,選中進程那一列,建立到新的工做表中,把字段拉到行和值中,選爲計數,就獲得各進程的活動數了調試

再看看外部網絡鏈接

相比進程多了好多,應該是瀏覽器瀏覽不一樣地址形成的。

 

使用 sysmon 工具監控

首先配置sysmon,建立一個txt文件,輸入配置信息,可根據需求增添刪改。

管理員模式運行cmd,用cd指令轉到sysmon目錄,輸入指令 sysmon.exe -i 20154321.txt(若是配置文件與sysmon.exe不在同一目錄,須要輸入配置文件的目錄),跳出安裝窗口後贊成完成安裝。

啓動sysmon以後能夠在 右鍵個人電腦——管理——事件查看器——應用程序和服務日誌——Microsoft——Windows——Sysmon——Operational 查看日誌文件。

找到了我本身啓動本身製做的後門文件

2.惡意代碼分析

使用virscan分析惡意軟件

在virscan網站上對上次實驗中C語言調用shellcode直接編譯的後門文件作行爲分析

能夠看到攻擊方主機的部分IP及端口號,且說明了有刪除註冊表鍵和鍵值、檢測自身是否被調試以及建立事件對象的行爲。

使用SysTracer分析惡意軟件

首先下載,安裝很簡單雖然是英文版,以後捕獲快照。
點擊take snapshot來快照,創建4個快照,分別爲:
snapshot#1 後門程序啓動前,系統正常狀態
snapshot#2 啓動後門回連Linux
snapshot#3 Linux控制windows查詢目錄
snapshot#4 Linux控制windows在桌面建立一個路徑

對比前,咱們先看下他的規則

先對比下1,2兩種狀況:

能夠看到打開後門後修改了以上兩項註冊表的內容,在應用(Application)——打開端口(Opened Ports)中能看到後門程序回連的IP和端口號。

對比3,4狀況:

使用Process Monitor分析惡意軟件

 啓動後會抓到很是多的進程數據,能夠點出工具——進程樹便利查看,多了堆棧信息

能看出後門程序運行起來後確實與explorer.exe有很大的關係

在進程樹中找到後門進程右鍵轉到事件,能夠在主窗口中找到程序,能直接看到回連的IP地址和端口號

使用Process Explorer分析惡意軟件

 打開process explorer後,接着運行後門程序回連,發現個人後門程序以紫色高亮身份顯示

三·基礎問題

1.若是在工做中懷疑一臺主機上有惡意代碼,但只是猜測,全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些,用什麼方法來監控。

應當首先更新病毒庫,並對敏感懷疑位置進行病毒查殺,若是沒有找到,應該開啓相關病毒掃描引擎,對計算機進行動態掃描,監控主機鏈接狀況,統計結果後找出可疑的Ip地址和端口號,可對這些ip和端口進行有針對性的抓包,查看有無創建套接字等可疑的行爲、查看有無可疑的傳輸內容等,還能夠經過systracer等查看註冊表、進程等的變化。

2.若是已經肯定是某個程序或進程有問題,你有什麼工具能夠進一步獲得它的哪些信息。

使用systracer,在打開進程先後分別takeshot,對比先後兩張快照課獲得進程有哪些行爲。

4、實驗體會

此次實驗用到的軟件比較多,瞭解到了不少監聽電腦的程序,這對我來講仍是比較好奇的,整體來說這些軟件對咱們本身電腦的安全來講仍是頗有幫助的。關於查實驗時的問題,我會進一步注意。盡最大努力去學,進可能弄懂更多的問題,能學到更多的東西也覺莫大的寬慰.

相關文章
相關標籤/搜索