20145308 《網絡對抗》 惡意代碼分析 學習總結

20145308 《網絡對抗》 惡意代碼分析 學習總結

實驗內容

• 系統運行監控

• 惡意軟件分析

  基礎問題回答

-（1）總結一下監控一個系統一般須要監控什麼、用什麼來監控。

• 監控系統的註冊表、進程、網絡鏈接狀況、服務、文件

• 抓包軟件能夠監控網絡鏈接狀況，還能夠用一些軟件讀取註冊表變化等
  -（2）若是在工做中懷疑一臺主機上有惡意代碼，請設計下你準備如何找到對應進程、惡意代碼相關文件。

• 抓包找到可疑鏈接，找到對應的端口號，再查找該端口對應的進程，找到惡意代碼相關文件

實驗總結與體會

意外收穫

• 對比最後兩次快照時，有了意外收穫，最初是發現端口有變化，但是以爲奇怪，此時並無從新建立網絡鏈接，並且個人木馬也沒有用到80端口，怎麼可能80端口有變化
  

• 後來發現是百度雲在我沒有啓動它的時候本身在後臺幹一些小勾當，偷偷聯網，鑑於百度雲有自動備份的功能，我猜想他有可能在偷偷上傳我電腦裏新增的數據，好可怕，我並無讓他幫我備份啊。。。不再敢再電腦裏放不可告人的小祕密了。。。

  實踐過程記錄

  靜態分析

• 具體原理主要就是利用特徵碼進行檢測，可是根據上週的實驗結果看出，檢測能力不夠強，仍是須要對惡意代碼的行爲進行動態監測

  動態分析

  systracer

• 對靶機初始狀態保存快照Snapshot #1
  

• 傳輸後門文件並保存快照爲Snapshot #2
  

• 對比兩次快照，發現e盤新增後門文件
  

• 成功回連，保存快照Snapshot #3
  

• 對比2 3兩次快照

• 發現新增了一個註冊表鍵，修改註冊表的鍵值是通常木馬的行爲
  

• 新增了進程文件
  

• 新增進程還創立了網絡鏈接，這就很可疑了，暴露了木馬的通常行爲
  

• 得到靶機的shell,保存快照Snapshot #4
  

• 對比兩個快照

• 有新增的進程
  

wireshark

• 捕獲靶機與攻擊機之間的通信
  

• 發現回連kali的一瞬間，靶機和攻擊機之間創建了好多通訊，分析其中一個數據包
  

• 源IP是靶機IP，目的IP和Kali的IP並不一致，這是由於虛擬機進行網絡通信要經過NAT方式，要通過一個地址池隨機分配一個用於網絡鏈接的IP，這裏就是這個IP
• 目的端口就是咱們預先設計好的443端口

• 可是發現靶機用於網絡鏈接的端口一直在變，彷佛是不一樣的服務在用不一樣的端口？這裏不是很清楚

  TCPView

• 使用TCPView查看回連Kali先後的網絡鏈接狀況
  

• 後門程序開啓了7960端口，回連目標主機，又預設目標主機的監聽端口是443，因此假裝成了HTTPS鏈接

  使用netstat命令設置任務計劃，每隔一段時間反饋

• 建立我就是病毒大魔王啊任務，並新建觸發器
  

• 在C盤下創建145308_virus文件夾，並新建腳本文件
• 建立任務完成後，運行病毒大魔王程序

• 以管理員權限運行5308.bat，查看5308.txt文件
  

Process Explorer

• 回連成功後，新增後門程序進程
  

• 查看並分析具體信息

• 和遠程攻擊機創建鏈接
  

• 還能夠用Process Explorer查看建立進程的程序信息和進程相關信息

  Process Monitor

• 回連成功後，出現了不少Explorer.exe相關的進程
  

• Explorer.exe是Windows程序管理器或資源管理器，猜想應該是木馬運行假裝成了系統固有文件的執行

  sysmon

• 安裝失敗，嘗試先卸載再安裝也不能夠
  

• 請教了小雞餅同窗，並參照了老師的博客，增長了一個配置文件，成功安裝
  

• sysmon啓動
  

• 查看事件ID爲1的一個進程
  

• 查看個人日誌的時候，發現有一個ID爲1的事件顯示錯誤
  

• 上網查閱發現貌似和顯卡有關，英偉達視頻傳送流服務，並且不少人都說有了它CPU佔用100%，想到常常CPU佔用達到100%的我不由後背一涼，可是我膽小啊，又不敢向網上的教程學習關了它