Exp4 惡意代碼分析 20154328 常城

Exp4 惡意代碼分析

1、實踐內容

1. 系統運行監控

• 使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。

• 安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。

  2. 惡意軟件分析

• 分析軟件在啓動回連時
• 分析軟件安裝到目標機時

• 分析軟件的其任意操做

  2、基礎問題

1. 若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

   答：個惡意代碼最終是要進行數據傳輸的，一旦進行了網絡數據的傳輸，那麼必定會留下日誌。這些日誌，是能夠被咱們所監視到。
   能夠先使用sysmono，進行網絡數據傳輸的監控，發現有問題的傳輸數據。可使用wireshark抓包分析，分析網絡鏈接狀態；查看軟件註冊表信息；使用SysTracer等軟件查看一段時間內系統註冊表信息文件標化狀況，將這些信息錄入excel分析。

2. 若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。
   答：systracer能夠用來作行爲的差別分析動態分析註冊表修改狀況，分析緣由，這樣作的目的，查看文件修改狀況和端口狀況並分析緣由；peid能夠用來看這個軟件是否加殼等；procmon和processexplore均可以用來分析這個軟件的內容、鏈接等等

   3、實驗過程

   ##### 1. 系統運行監控

   Windows計劃任務schtasks

• 爲實現每2min記錄下有哪些程序在鏈接網絡，輸入如下命令：

  schtasks /create /TN 20154328netstat /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

• 釋義：TN是TaskName的縮寫，咱們建立的計劃任務名是20154301netstat；sc表示計時方式，咱們以分鐘計時填MINUTE；TR=Task Run，要運行的指令是 netstat -bn,b表示顯示可執行文件名，n表示以數字來顯示IP和端口,MO 表示隔兩分鐘進行一次。
  

• 此命令完成後，每五分鐘就會監測哪些程序在使用網絡，並把結果記錄在netstatlog.txt文檔裏，可是不顯示記錄的時間和日期，這可能不便於咱們判斷，要是想顯示日期和時間，咱們能夠經過bat批處理文件來實現。

• 在C盤要目錄下建一個文件c:\netstatlog.bat（先把後綴設爲txt，保存好內容後把後綴改成bat）

• 打開控制面板->任務計劃程序，找到咱們的任務20154328netstat
  

• 雙擊點開，找到操做，點擊全部項裏的屬性選項：

• 能夠對任務進行修改：找到操做選項卡，選擇netstatlog.bat腳本。

• 修改爲功後，顯示：

• 能夠看到記錄文件netstatlog.txt中的記錄有了時間：
  

• 接下來咱們要作的就是等待，等記錄項目夠多了再進行分析。
  

Sysmon

• 明確監控目標

  網絡鏈接、驅動加載、遠程線程建立、進程建立、訪問和結束等

• sysmon 微軟Sysinternals套件中的一個工具，能夠從碼雲項目的附件裏進行下載，要使用sysmon工具先要配置文件，一開始我直接用的是老師給的配置文件,建立配置文件20154328.txt（注：必定要以管理員身份運行）：
  

• 配置好文件以後，要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令對sysmon進行安裝：
  

• 啓動以後，即可以到事件查看器裏查看相應的日誌，在"運行"窗口輸入eventvwr命令，打開應用程序和服務日誌，根據Microsoft->Windows->Sysmon->Operational路徑找到記錄文件：
  

• 將後門程序放入windows主機，在Kali下進行回連操做：
  

• 木馬極可能假裝成電腦自帶的explorer.exe進程

• 以後，我對Sysmoncfg.txt配置文件進行了修改，重點是監視80和443以及4328端口的聯網狀況
  

• 4328端口
  

使用在線沙盤分析惡意軟件

• 因爲哈勃關閉了普通用戶進行行爲分析，virscan也調用不了，這裏咱們使用兩個國外的在線沙盤進行分析。

  Threat Expert：

• 報告能夠看到其啓動回連主機的部分IP地址以及端口號
  

VirusTotal

• 報告分析出了一堆英文，都看不懂(>_<)
  
  

使用systracer工具分析惡意軟件

• 點擊take snapshot來快照，四個快照：1.惡意軟件啓動回連時；2.惡意軟件執行dir命令進行查看時；3.惡意軟件進行截屏操做時；4.將惡意軟件植入到目標主機中後。
  

• 比較一、4，咱們能夠看到不少信息，包括IP及端口

  
  
  

聯網狀況分析

• 在後門程序回連時，在主機的命令行中用netstat -n命令查看TCP鏈接的狀況，能夠發現其中有進行回連的後門程序：

• 回連時創建tcp鏈接
  

• 在後門程序回連時，打開wireshark，進行捕包分析，查看詳細的協議分析發現，後門程序創建了三次握手並回連時進行了基於IP和端口的鏈接
  

Process Monitor

• 打開Process Monitor就能夠就看到按時間排序的winxp執行的程序的變化，運行一下後門程序4328.exe，再刷新一下Process Monitor的界面，能夠指定查找到程序。
  

PEiD

• PEiD是一個經常使用的的查殼工具，能夠分析後門程序是否加了殼。

• 加殼
  

• 不加殼
  

Process Explorer

• 打開Process Explorer，運行後門程序fool20154328.exe，在Process欄能夠找到fool20154328.exe
  

• 雙擊後門程序4328.exe一行，點擊不一樣的頁標籤能夠查看不一樣的信息：

• TCP/IP頁簽有程序的鏈接方式、回連IP、端口等信息。
  
  

• Performance頁簽有程序的CPU、I/O、Handles等相關信息。
  

實驗心得體會

• 總的來講此次實驗所使用的不少工具都是之前沒有見過沒有聽過的軟件。並且不少都是全英文的，對於英語很差的本身來講是一個很大的挑戰。在實驗的過程當中只能邊百度這些軟件的使用方法，而後結合學長學姐以及班裏先作出來的同窗的實驗報告來一步一步的作 。
• 之前的實驗是咱們來對目標計算機進行攻擊，此次咱們扮演防護者。經過各類各樣的軟件來分析惡意軟件。
• 經過前幾回實驗，以及此次實驗，咱們發現不少的時候單純的殺毒軟件已經不能對惡意的軟件進行查殺，只有在病毒庫的軟件它才能夠識別出來。這就要求咱們將本次實驗的指示結合起來，利用工具對系統進行監控查殺。查看是否存在惡意代碼。