20155207王雪純《網絡對抗》Exp4 惡意代碼分析

時間 2019-12-07

標籤網絡對抗 exp4 exp 惡意代碼分析欄目系統網絡简体版

原文原文鏈接

20155207 《網絡對抗》惡意代碼分析學習總結

1.是監控你本身系統的運行狀態，看有沒有可疑的程序在運行。linux

2.是分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具儘可能使用原生指令或sysinternals,systracer套件。shell

3.假定未來工做中你以爲本身的主機有問題，就能夠用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行爲與性質。網絡

（1）使用如計劃任務，每隔一分鐘記錄本身的電腦有哪些程序在聯網，鏈接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出全部連網的程序，連了哪裏，大約幹了什麼(不抓包的狀況下只能猜)，你以爲它這麼幹合適不。若是想進一步分析的，能夠有針對性的抓包。tcp

（2）安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控本身主機的重點事可疑行爲。工具

參考：schtask與sysmon應用指導學習

實際日誌的分析還須要發揮下本身的創造力，結合之前學過的知識如linux的文本處理指令等進行。分析的難點在於從大量數據中理出規律、找出問題。這都依賴對結果過濾、統計、分類等進一步處理，這就得你們會什麼用什麼了。設計

分析該軟件在(1)啓動回連，(2)安裝到目標機(3)及其餘任意操做時（如進程遷移或抓屏，重要是你感興趣）。該後門軟件3d

（3）讀取、添加、刪除了哪些註冊表項日誌

（4）讀取、添加、刪除了哪些文件code

（5）鏈接了哪些外部IP，傳輸了什麼數據（抓包分析）

對比最後兩次快照時，有了意外收穫，最初是發現端口有變化，但是以爲奇怪，此時並無從新建立網絡鏈接，並且個人木馬也沒有用到80端口，怎麼可能80端口有變化
p10
後來發現是百度雲在我沒有啓動它的時候本身在後臺幹一些小勾當，偷偷聯網，鑑於百度雲有自動備份的功能，我猜想他有可能在偷偷上傳我電腦裏新增的數據，好可怕，我並無讓他幫我備份啊。。。不再敢再電腦裏放不可告人的小祕密了。。。

實踐過程記錄

靜態分析
具體原理主要就是利用特徵碼進行檢測，可是根據上週的實驗結果看出，檢測能力不夠強，仍是須要對惡意代碼的行爲進行動態監測

動態分析

systracer
對靶機初始狀態保存快照Snapshot #1
傳輸後門文件並保存快照爲Snapshot #2
成功回連，保存快照Snapshot #3
對比2 3兩次快照，新增了進程文件還創立了網絡鏈接，這就很可疑了，暴露了木馬的通常行爲
得到靶機的shell,保存快照Snapshot #4
對比兩個快照，有新增的進程

捕獲靶機與攻擊機之間的通信
發現回連kali的一瞬間，靶機和攻擊機之間創建了好多通訊，分析其中一個數據包、
源IP是靶機IP，目的IP和Kali的IP並不一致，這是由於虛擬機進行網絡通信要經過NAT方式，要通過一個地址池隨機分配一個用於網絡鏈接的IP，這裏就是這個IP
目的端口就是咱們預先設計好的443端口
可是發現靶機用於網絡鏈接的端口一直在變，彷佛是不一樣的服務在用不一樣的端口？這裏不是很清楚

TCPView
使用TCPView查看回連Kali先後的網絡鏈接狀況
後門程序開啓了7960端口，回連目標主機，又預設目標主機的監聽端口是443，因此假裝成了HTTPS鏈接

使用netstat命令設置任務計劃，每隔一段時間反饋
建立任務，並新建觸發器
在C盤下創建155207_virus文件夾，並新建腳本文件
建立任務完成後，運行病毒大魔王程序
以管理員權限運行netstatlog.bat，查看netstatlog.txt文件