20145230熊佳煒《網絡對抗》實驗四：惡意代碼分析

時間 2019-12-17

標籤網絡對抗實驗惡意代碼分析欄目系統網絡简体版

原文原文鏈接

20145230熊佳煒《網絡對抗》實驗四：惡意代碼分析

惡意代碼

定義一：惡意代碼又稱惡意軟件。這些軟件也可稱爲廣告軟件、間諜軟件、惡意共享軟件。是指在未明確提示用戶或未經用戶許可的狀況下，在用戶計算機或其餘終端上安裝運行，侵犯用戶合法權益的軟件。與病毒或蠕蟲不一樣，這些軟件不少不是小團體或者我的祕密地編寫和散播，反而有不少知名企業和團體涉嫌此類軟件。有時也稱做流氓軟件。安全
定義二：惡意代碼是指故意編制或設置的、對網絡或系統會產生威脅或潛在威脅的計算機代碼。最多見的惡意代碼有計算機病毒、特洛伊木馬、計算機蠕蟲、後門、邏輯炸彈等。網絡

惡意代碼分析

靜態分析：經過與惡意代碼特徵庫中的一些信息比對，若是相同則認爲某個程序是惡意代碼。
動態分析：經過監控計算機中某程序的運行或其行爲，若是行爲存在危險則斷定其爲惡意代碼。

實驗分析過程

schtasks

首先在C盤中創立一個netstatlog記事本文件，而後打開它照下圖編寫。
tcp
隨後將其保存爲bat文件。即批處理文件。
打開命令行輸入schtasks命令，建立了一個計劃任務。
函數
而後咱們新建一個觸發器。
工具
而後再新建一個操做。
性能
隨後咱們以管理員身份運行一下netstatlog20145230會發如今txt日記本文檔中出現了咱們的一些日誌。
網站

TCPView

咱們能夠經過它來知道進程與網絡通訊的關係，能夠監控進程是否聯網。

wireshark

在上學期的信息安全技術和這學期的網絡安全協議中我都會常常用到這個軟件，因此對它仍是很瞭解，知道能夠用它來實現抓包，方便咱們對一些協議進行分析。
在後門程序回連時，咱們用wireshark進行抓包能夠獲得一些信息。
命令行
在回連時，咱們也能夠用netstat指令看到5230端口的狀況。
設計

PROCESS MONITOR

經過PROCESS MONITOR這個程序咱們能夠看到系統中進程的更新、運行狀態。
3d

PROCESS EXPLORER
經過PE這個軟件咱們能夠查看PE文件編譯的一些基本信息。我剛剛用迅雷下載了PE，結果迅雷就出現了裏面。

PE ID
PEID這個軟件的做用是用來查殼，也對惡意代碼的分析有巨大做用，但我在百度上搜索到的這個版本感受很不靠譜，因此就沒有下下來實驗。

SysTracer

首先在附件中下載，而後再進行使用。
咱們要使用的就是快照工具，對咱們主機的註冊表及硬盤等信息進行掃描分析。
在Kali還沒啓動監聽時咱們快照掃描一次主機，保存爲#1。
在Kali啓動監聽時咱們掃描一下主機，保存爲#2。
在主機中後門程序回連時，咱們再次快照，保存爲#3。
在比較回連前和回連後的快照後，咱們能夠發現，註冊表的內容會有所變化，會多了一個KEY。
PS：因爲我使用主機作的快照，所有文件掃描花的時間實在太長，我就自主選擇了一些東西進行掃描，但也能夠看出回連先後主機確實發生了變化。

sysmon
在我使用sysmon時，安裝的時候已經成功了，但在新建xml文件時會發生錯誤，重啓過，從新安裝過，但都不行，如今尚未解決這個問題，很苦惱。

感覺

此次實驗正如指導書上說的，不是讓咱們下多少軟件，去了解每一個軟件的用途，仍是要咱們經過軟件學會分析一些內容，一些系統中的重要信息。這些信息與咱們的電腦性能及安全息息相關，好比哪天你快照時發現註冊表忽然多出來一個什麼東西，那你就得當心了，頗有可能就是惡意代碼在做祟。我電腦開兩臺虛擬機作會很卡，因此此次實驗我基本都用個人主機做爲靶機來完成的，因此有些東西就很繁瑣，由於內容實在太多了。惟一的遺憾就是sysmon那出了點問題，我試了不少不少次都仍是沒有解決，我會一直嘗試作下去！不拋棄不放棄，就是一種最好的精神。