20145325張梓靖 《網絡對抗技術》 惡意代碼分析

20145325張梓靖 《網絡對抗技術》 惡意代碼分析

　　

實驗內容

• 分析的惡意代碼爲：Exp2中Msfvenom直接生成的exe（使用了編譯器）
• 使用systracer分析對比（主機加載惡意代碼前、安裝後、回連後、使用抓屏功能後）：註冊表項、文件、開放端口、開放句柄等是否有變化
• 使用TCPView查看惡意代碼回連先後端口開放狀況
• 使用Process Monitor查看實時文件系統、註冊表和進程/線程活動
• 使用Process Explorer查看有關進程已打開或加載哪些句柄和 DLL的信息。
• 運用計劃任務，設置每5分鐘啓用netstat命令，觀察惡意代碼回連先後端口開放、IP鏈接狀況
• 使用wireshark在惡意代碼回連先後進行捕包，分析數據
• 使用sysmon工具，設置配置文件監控主機可疑行爲

基礎問題回答

1. 總結一下監控一個系統一般須要監控什麼、用什麼來監控
   監控註冊表信息、自啓動信息、文件信息、端口開放信息、服務信息、進程信息、開放句柄信息等等；可使用sysmon、TCPView、Process Monitor、Process Explorer等工具監控。

2. 若是在工做中懷疑一臺主機上有惡意代碼，請設計下你準備如何找到對應進程、惡意代碼相關文件
   先在命令行使用netstat命令，檢查是否有未知的程序進行了網絡鏈接；選擇Process Explorer工具，觀察裏面是否有這個未知程序在運行，而且查看其下使用什麼其餘程序以及dll等信息，判斷它使用的DLL是否爲敏感信息，使用的其餘程序是否可信任；接着運行Process Monitor，看看該未知程序是否對註冊表等有所動做，同時使用wireshark捕包，重點查看與未知程序進行網絡鏈接IP的包，分析包內的信息是否爲敏感信息。這樣，咱們基本上就能判斷出該未知程序是否爲惡意代碼，以及與該程序有關的文件等。

實驗總結與體會

在本次實驗中，主要是對惡意代碼的動態行爲進行分析。經過使用Process Explorer工具、netstat命令等，能夠很清楚的看到該惡意代碼與控制端的網絡鏈接與端口的開放狀況；使用Process Monitor、Process Explorer能夠比較清楚的知道目前機器上註冊表、進程線程等狀況，能夠知道那個程序使用那些dll；使用wireshark捕獲包，能夠獲知傳輸出去的包的內容，之內容的敏感性來判斷是不是惡意代碼的操做；對於使用systracer來分析機器先後變化是一種很方便的方式，輕鬆的就能知道對於文件、註冊表、網絡鏈接、開放端口、開放句柄、運行進程等是否有改變。當之後若是咱們懷疑咱們的電腦中病毒了，就能夠選擇以上方式來慢慢查看是什麼軟件在搞怪、搞怪了什麼地方，而再也不是隻會簡單的點擊殺毒軟件的殺毒按鈕。

實踐過程記錄

使用TCPView查看惡意代碼回連先後狀況

• 回連後，惡意代碼與控制端創建鏈接，5325端口被開放
  

使用netstat命令設置計劃任務，每5分鐘反饋，觀察惡意代碼回連先後狀況

• 設置任務計劃裏的觸發器：
  

• 設置任務計劃裏的操做：
  

• 回連後，發現已於虛擬機創建鏈接
  

使用systracer分析惡意代碼回連先後狀況

• snapshot_ago:起始狀態； snapshot_trans:惡意代碼轉移到被控機； snapshot_run：運行惡意代碼； snapshot　#4：控制端對主機進行抓屏
  

• 對比snapshot_ago與snapshot_trans，在主機上增長了一個文件
  

• 對比snapshot_trans與snapshot_run，正在運行惡意代碼
  

• 對比snapshot_trans與snapshot_run，開啓了與控制端的鏈接
  

• 對比snapshot_trans與snapshot_run，運行多條句柄，包括關於註冊表、dll等的內容
  

• 對比snapshot_run與snapshot　#4，打開句柄增長了與遠程打印服務有關的內容
  

使用Process Monitor查看惡意代碼回連先後狀況

• 未觀察到明顯的有關該惡意代碼的進程信息，但出現了不少explore.exe的進程註冊信息
  

• 上網查後發現，explorer.exe是Windows程序管理器或者Windows資源管理器，它用於管理Windows圖形殼，包括開始菜單、任務欄、桌面和文件管理，一旦刪除會使
  Windows圖形界面沒法使用。一旦發現本機中有過多的explorer.exe在運行而且所佔CPU很大，那麼頗有多是有病毒假裝成了explorer.exe

使用Process Explorer查看惡意代碼回連先後狀況

• 回連後，在explore.exe下出現惡意代碼程序
  

• 再仔細查看其具體信息，發現已與一個地址進行了網絡鏈接（這裏就是本身的地址了）
  

• 觀察該惡意程序使用的線程，發現ADVAPI32.dll，其與對象的安全性，註冊表的操控以及事件日誌有關
  

使用wireshark查看惡意代碼回連先後狀況

• 沒有捕獲到任何有關該惡意代碼的信息，在本機和虛擬機XP都嘗試了使用wireshark捕包，但都沒有不到具體IP=控制端IP的包，難道是由於它默認接連地址是本機因此不往外傳包？（在Process Explorer中可看出該惡意代碼鏈接上控制端後，惡意代碼顯示的鏈接地址爲localhost）
  

使用sysmon工具查看惡意代碼回連先後狀況

• 沒成功安裝sysmon工具
• 輸入安裝sysmon命令時，提示說要從新安裝則須要先卸載，因而我覺得電腦自己之前已安裝好，想先查看查看配置，輸入命令後卻又提示說sysmon並無安裝