20145229吳姍珊 《網絡對抗技術》 惡意代碼分析

20145229吳姍珊 《網絡對抗技術》 惡意代碼分析

相關知識

基礎問題

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

• 由wireshark捕包總結能夠經過對流量，端口開放進行監控，由於惡意代碼很重要的就是它會運用網絡資源進行一些數據傳輸，因此對流量的監控是很是有必要的
• 經過以前的靜態分析總結而來咱們能夠對註冊表是否增刪修改，日誌信息是否有異常進程入手進行監控
• 經過PE explore能夠看到文件的頭信息，節頭，數據目錄，能夠從導入庫中分析是不是惡意代碼

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

• 首先能夠去http://www.virscan.org上進行掃描，有一個文件行爲分析，能夠看個大概
• 用PEID查看是否加殼
• 用systracer能夠進行快照，而後對比哪裏發生變化進而進行研究
• 用wireshark進行流量抓包觀察其程序動向

實驗體會

此次的實驗主要是利用以前生成的後門程序，用各類軟件進行靜態動態分析，在我看來最有趣的地方就是我知道它是一個後門程序，我用各類工具從註冊表，是否加殼等方面入手，瞭解了它是怎樣對個人電腦進行破壞的，雖然對電腦真的肉疼，可是過程仍是頗有意思的，以爲本身在剖析一個攻擊者的手法，比較偏向於實際應用，引導咱們一步步去發現誰是惡意代碼，惡意代碼是如何暴露了本身，過程頗有趣。
好的說一點其餘的問題，電腦要哭了！！天天都不給開防火牆不給殺軟，天天都給它開後門！！太卡了！！因此後面的一些實驗都是用手機拍圖，但願不要介意，電腦太卡

基礎知識

惡意代碼

• 惡意代碼（Unwanted Code）是指沒有做用卻會帶來危險的代碼，一個最安全的定義是把全部沒必要要的代碼都看做是惡意的，沒必要要代碼比惡意代碼具備更寬泛的含義，包括全部可能與某個組織安全策略相沖突的軟件。
• 惡意代碼又稱惡意軟件。這些軟件也可稱爲廣告軟件（adware）、間諜軟件（spyware）、惡意共享軟件（malicious shareware）。是指在未明確提示用戶或未經用戶許可的狀況下，在用戶計算機或其餘終端上安裝運行，侵犯用戶合法權益的軟件。與病毒或蠕蟲不一樣，這些軟件不少不是小團體或者我的祕密地編寫和散播，反而有不少知名企業和團體涉嫌此類軟件。有時也稱做流氓軟件。

惡意代碼分析

• 靜態分析基礎技術（計算程序MD5值，檢索M5值獲取信息/查看可疑代碼資源節獲取特徵）
• 動態分析基礎技術（配置「沙箱」環境/Dll類型文件的啓動運行）

• 本次分析的爲msf生成的後門軟件，就是實驗二里生成的，當時刪掉了因此從新生成了一個ss5229.exe
  

• 靜態分析
  1.特徵庫比對，將ss5229.exe提交至http://www.virscan.org進行分析，以下圖所示
  
  被20個殺軟檢測出來了，很明顯是惡意軟件，接下來查看具體行爲分析
  

• 分析：
  如圖，經過加殼，刪除註冊表，建立套接字鏈接，檢測自身是否被調試均可以分析得出是一個惡意軟件

2.查看PE文件頭中包含的代碼信息

• 進入PE後打開ss5229.exe，查看了文件頭信息，節頭，數據目錄，以及引入的庫
  

分析：

• 前面兩個也沒看出啥東西來，百度也沒什麼問題，百度了無數次發現了引入的庫有問題
  
• 以下圖，advapi32.dll跟註冊表操做有關，這就很尷尬了，至少有風險
  
• wsock32.dll，Windows Sockets應用程序接口，建立鏈接危險
  
• advapi32.dll也牽涉到註冊表的操做，日誌的修改，因此也是高危引用庫

• 前面兩個.dll庫沒有大問題，msvcrt.dll是微軟在windows操做系統中提供的C語言運行庫執行文件;kernel32.dll是Windows 9x/Me中很是重要的32位動態連接庫文件，屬於內核級文件。它控制着系統的內存管理、數據的輸入輸出操做和中斷處理

• PEiD
  使用PEiD來分析咱們的ss5229.exe是否加殼或者用什麼編譯的
  
  經過上圖咱們看到它啥都沒有查出來，這很尷尬，經過百度說它啥編譯器的問題，那咱們從另外一個角度入手，反彙編，以下圖
  

• 動態分析
  1.SysTracer進行分析
• 首先在kali中進行監聽，保存爲Snapshot #1,聽同窗說她快照照了20秒就結束了，反正我如今照了15分鐘了還沒結束，呵呵呵
  
  好的，通過了17分鐘終於結束
  
• 如今點擊ss5229.exe進行回連，成功後進行Snapshot #2 ,就不進行截圖了，電腦真的太卡了，待會附對比圖
• 如今對靶機進行截圖，而後進行快照Snapshot #3
• 完成了全部的快照，接下來進行對比，1和2對比很明顯的有ss5229.exe
  

• 對比2,3的註冊表以及程序，明顯有了刪除的痕跡，蹤影很是明顯
  

2.wireshark流量捕包

• 在kali和靶機之間進行通訊時，咱們使用wireshark來捕包進行數據分析
  kali ip:192.168.222.128 主機ip：192.168.2.123
• 如圖所示咱們捕獲到了大量的三次握手的包（因爲截圖來回太卡了因此用手機拍了，不是特別清晰）
  
• 當我這邊已經回連成功進行截頻的時候，wireshark捕到大量包
  

3.任務計劃（電腦太卡了截圖工具崩了！！！因此拍照了！！）

• 進入計算機/管理/任務計劃，而後建立新的任務計劃，命名netstat5229，觸發器設置爲5分鐘執行一次
  
• c盤下建立文件夾5229，編寫腳本爲netstat5229.txt,保存後後綴改成bat
  
• 將任務計劃操做設爲咱們的netstat5229.bat，參數爲 >>c:\5229\netstat5229.txt
  
• 運行任務生成5229.txt
  

• 而後咱們就能夠看txt裏面的東西了，上面就是說我沒有權限而後啥都不給我看，而後看有些同窗的博客就說在新建任務那裏點最高權限就能夠，天哪嚕我設置了仍是沒有權限，因此我打開了百度！！要右鍵點擊管理員權限！！沒有權限的朋友讓我看到大家的雙手，因此怎麼說呢，遇到問題仍是得本身解決，畢竟每一個人電腦不同遇到的問題不同因此要獨立思考呀
  

• 說到解決問題的方面，好多同窗用的NAT模式可是有的時候虛擬機崩了而後它就沒有ip了！！！提供一個解決的方法，請點擊你電腦裏服務，查看VMWARE那幾個有沒有運行，而後你手動運行通常就解決了沒有ip的問題，都不用重啓！很是方便！
  

4.sysmon

• 安裝的地方最重要的就是管理員權限的問題，使用右鍵在菜單裏選擇管理員權限
  
• 而後輸入命令，後配置xml，而後跳出來錯誤，黑人問號，百度了好多，翻遍了同窗的博客都沒有獲得解決