20145240《網絡對抗》惡意代碼分析

惡意代碼

基礎知識

• 惡意代碼又稱惡意軟件。這些軟件也可稱爲廣告軟件（adware）、間諜軟件（spyware）、惡意共享軟件（malicious shareware）。是指在未明確提示用戶或未經用戶許可的狀況下，在用戶計算機或其餘終端上安裝運行，侵犯用戶合法權益的軟件。與病毒或蠕蟲不一樣，這些軟件不少不是小團體或者我的祕密地編寫和散播，反而有不少知名企業和團體涉嫌此類軟件。有時也稱做流氓軟件。

• 惡意代碼是指故意編制或設置的、對網絡或系統會產生威脅或潛在威脅的計算機代碼。最多見的惡意代碼有計算機病毒（簡稱病毒）、特洛伊木馬（簡稱木馬）、計算機蠕蟲（簡稱蠕蟲）、後門、邏輯炸彈等。

• 特徵：

（1） 惡意的目的
（2） 自己是計算機程序
（3） 經過執行發生做用

靜態分析

• 本次實驗分析的對象是lsj2.exe

特徵庫比對

• 點擊「文件行爲分析」，能夠發現該文件會有加殼、網絡鏈接的行爲，自行刪除註冊表鍵值的行爲

PEID

• PEiD是一款著名的查殼工具，其功能強大，幾乎能夠偵測出全部的殼，可是檢測本身生成的52406.exe時卻什麼都沒找到

• 百度一下UPX發現，這就是一個壓縮殼工具

動態分析

使用計劃任務schtasks

• 先在C盤目錄下創建一個netstatlog.bat文件，用來將記錄的聯網結果格式化輸出到netstat5240.txt文件中，netstatlog.bat內容爲：

• 打開Windows下命令提示符，輸入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令建立一個每隔兩分鐘記錄計算機聯網狀況的任務：

• 在任務計劃程序中，新建一個觸發器

• 新建一個操做，並設置參數：>> c:\netstat5240.txt

• 並設置一個名稱，給予最高權限

• 回連後，發現記錄瞭如下回連產生的記錄

sysmon工具查看惡意代碼回連先後狀況

• 在Sysmon.exe同目錄下創建文件：20145240.txt，並輸入老師指導書中給的XML

• 管理員身份運行CMD，輸入指令：Sysmon.exe -i test.xml，進行安裝

• 輸入指令：Sysmon.exe -c test.xml，進行配置

• 設置好上述，能夠進入Applications and Services Logs/Microsoft/Windows/Sysmon/Operational查看日誌，需等待加載，回連並查找52406.exe

TCPView查看惡意代碼回連先後狀況

• 在xp下運行查看，以下圖

wireshark抓包分析

• 捕獲tcp三次握手以及捕捉到了靶機kali向主機發送文件的數據包

• 虛擬機IP地址 ：192.168.31.128

使用PE Explorer分析惡意軟件

• 在虛擬機下經過PE explorer打開文件52406.exe，能夠查看PE文件編譯的一些基本信息，導入導出表等

SysTracer

• 1.在正常狀況下，咱們在主機下快照保存爲Snapshot #1；

• 2.Kali生成相應的後門，將文件經過ncat傳到主機下後快照保存爲Snapshot #2；

• 3.Kali開啓msf監聽，在主機下運行後門程序後快照保存爲Snapshot #3；

• 4.Kali對主機虛擬機進行截圖後，在win7下快照保存爲Snapshot #4；

• 5.Kali對主機進行一些權限操做後，在win7下快照保存爲Snapshot #5.

快照結果對比分析：

• 1&2： 將文件傳到主機後發現註冊表發生了變化，發現能夠桌面新增了文件

• 2&3：Kali回連成功後註冊表發生變化，進程信息發現咱們有網絡鏈接

• 3&4：獲取主機截屏後，註冊表信息又發生變化

• 4&5：在進行一些權限操做後，進程信息顯示後門程序有聯網訴求

實驗後回答問題

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

• 能夠對比註冊表，進程，端口，服務還有文件等信息，對其進行監控。

• 能夠用到本次實驗的工具來分析，如 wireshark捕包、TCPview查看系統的TCP鏈接信息、sysmon用來監視和記錄系統活動、是否有獲取權限等行爲。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

• Process Explorer工具，觀察裏面是否有這個未知程序在運行，而且查看dll等信息。
• 使用wireshark捕包，重點查看與未知程序進行網絡鏈接IP的包，分析包內的信息是否爲敏感信息。

2.實驗總結與體會

由於電腦內存小虛擬機左一個右一個，實在是很麻煩，可是本次實踐時在SysTracer快照時頭一次體會到了電腦內存小的好處， 快照了3個的時候出現了問題，只能重裝，還比如較快基本上每一個照一兩分鐘就結束了，很感動。一次用這麼多工具，剛開始有點分不清每一個的功能，也出現了不少問題，實踐纔是硬道理，還有待努力改進。