20154323_胡冰源_Exp4

Exp4 惡意代碼分析

1、實踐目標

1.監控本身系統的運行狀態，看有沒有可疑的程序在運行。

2.分析一個惡意軟件，分析Exp2或Exp3中生成後門軟件。

2、實踐步驟

1.系統運行監控

使用 netstat 定時監控

首先建立一個txt文件，用來將記錄的聯網結果按格式輸出到netstatlog.txt文件中，內容爲：

date /t >> d:\netstatlog.txt

time /t >> d:\netstatlog.txt

netstat -bn >> d:\netstatlog.txt

 

 

 

 

把它的後綴名改爲bat。再移動到d盤。

開啓命令提示符

 

 

此時遇到問題：沒有操做權限。原來是沒有用管理員方式運行。

解決方式：Windows10中在Cortana中輸入「命令提示符」進行搜索，右鍵，管理員方式運行。

輸入指令 schtasks /create /TN 20154323 /sc MINUTE /MO 2 /TR "d:\20154323.bat（上面建立的文件） 建立間隔2分鐘的計劃任務。

 

 

或者在控制面板版—計劃任務中建立一個觸發器爲」按預約計劃「，重複間隔本身設定，操做中程序選中上面建立的文件的定時任務。可是我在作時遇到了以下問題：

 

 

思考了許久，問了問同窗，發如今下面能夠解決：

 

如圖，使用最高權限運行，這個選項必須勾上。

 

 

打開個人netstatlog記事本，能夠發現我在今日晚上的鏈接網絡的狀況。

 

 

過一段時間等收集到足夠多的數據後，建立一個excel

 

 

在數據選項卡中選擇導入數據，選中保存的netstatlog.txt文件，設置使用分隔符號 ，並勾選所有分隔符號。

 

單擊數據透視表，選中協議那一列，建立到新的工做表中，把字段拉到行和值中，選爲計數，就獲得各進程的活動數了（把不須要統計的行勾掉。這裏要看的是程序，而不是協議）。

 

 

轉化爲圖形，更爲直觀簡潔

 

 

沒有可疑的進程，電腦處於安全（由於有QQPCTRAY在工做）。

再看看外部網絡鏈接

 

 

 

應該是瀏覽器瀏覽不一樣地址形成的。從圖表能夠看出使用最多的地址。這樣能夠看見有沒有可疑的地址訪問。

 

使用 sysmon 工具監控

首先配置sysmon，建立一個txt文件，輸入配置信息，可根據我的需求增添刪改。

 

 

 

管理員模式運行cmd，用cd指令轉到sysmon目錄，輸入指令 sysmon.exe -i 20154323sys.txt（若是配置文件與sysmon.exe不在同一目錄，須要輸入配置文件的目錄）。

以前我已經作過一次，因此不須要再次安裝。

 

 

啓動sysmon以後能夠在 右鍵個人電腦——管理——事件查看器——應用程序和服務日誌——Microsoft——Windows——Sysmon——Operational 查看日誌文件。

 

 

如今開始製做後門文件。用veil

 

 

 

運行，找到了我本身啓動本身製做的後門文件

 

從它的特徵我並不知道如何斷定爲後門文件，ParentImage那一欄寫的是explorer.exe（不是iexplorer，很容易弄混。而是資源管理器！！）和sysmon自己同樣， explorer是不少病毒喜歡假裝或感染的對象。

 

除了本身的後門文件外，沒有發現其餘的可疑進程。高手能夠發現本身的電腦上的密碼，有的學長學姐好像發現過本身的木馬。做爲信息安全保密工做的人士，不只僅是工做上，本身私人電腦上也不該該有木馬。嚴謹 ，嚴防泄密，這是職業素質。

2.惡意代碼分析

使用virscan掃描病毒

 

 

 

有的同窗能夠看見行爲分析，能夠看到攻擊方主機的部分IP及端口號，且看見了有刪除註冊表鍵和鍵值、檢測自身是否被調試以及建立事件對象的行爲。可是個人電腦試了不少次都作不出來，至今沒有找到解決辦法。

使用SysTracer分析惡意軟件

使用systracer工具創建4個快照，分別爲：

snapshot#1 後門程序啓動前，系統正常狀態

snapshot#2 啓動後門回連Linux

snapshot#3 Linux控制windows在其D盤目錄下建立一個文件

 

 

對比一、3兩種狀況。

 

 

 

能夠看到打開後門後修改了註冊表的內容。不少地方的註冊表都被修改了，有一部分應該是它修改的。注意選擇的是「Only Differences」

 

 

 

而後文件比較，發現出現了新增的文件：「hby4323.txt」

 

 

這是爲何呢？原來是我在Linux下在Windows上生成了txt文件：編輯效果如圖

 

 

果真在個人後門的文件夾中有一個txt文件：

 

 

而後再把後門程序關閉，拍一張快照。發現註冊表還有變化，在這期間沒有手動運行其餘程序，應該是後臺在修改註冊表。有多是爲了擦出痕跡，把修改過的註冊表改了回去。

如圖：

 

 

使用PEiD分析惡意軟件

使用PEiD軟件能夠查看惡意軟件的殼的相關信息，以及其所使用的編譯器版本。

 

 

使用Process Monitor分析惡意軟件

啓動後會抓到很是多的進程數據，能夠點出工具——進程樹，便利找到我本身的後門程序。

 

 

後門程序運行起來後確實與explorer.exe（資源管理器）有很大的關係

 

 

在進程樹中找到後門進程右鍵轉到事件，能夠在主窗口中找到程序，能直接看到回連的IP地址和端口號然而此次IP地址沒顯示，顯示爲bogon，百度了下說是不應出如今路由表中的地址。

 

 

 

 

在進程信息中的模塊裏找到 advapi32.dll 百度說是包含函數與對象的安全性、註冊表的操控以及與事件日誌有關，仍是很重要的一個dll文件，一個無關程序莫名與其掛鉤，就很值得引發咱們懷疑。

使用Process Explorer分析惡意軟件

 打開process explorer後，接着運行後門程序回連

 

 

雙擊點開進程，在TCP/IP選項卡中能夠看到回連的Linux的IP地址和端口。

 

 

 

使用TCPView工具分析惡意軟件

後門運行時直接打開 tcpview 工具，能夠直接找到後門進程

 

 

能夠直接看到後門程序鏈接的IP地址及端口號。

3、實驗後問題回答

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

1.能夠經過設置定時計劃任務，使用 netstat 指令將主機中的網絡鏈接活動跡象都記錄下來，逐一篩選。

2.可使用sysmon工具，有選擇的編寫配置文件，將主機中各個進程的活動記錄下來，能更加省時省力。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

1.可使用systracer工具，對比進程運行先後，系統中的變化狀況，從而得知它的行爲活動信息。

2.可使用process explorer工具，查看該進程的網絡鏈接狀況，以及線程、執行等信息。

4、實驗心得與體會

          此次實驗是咱們作過的操做比較簡單，可是分析最難的一次實驗。咱們經過各類軟件進行監控本身的電腦。這是最具備意義的操做，之前都是進行攻擊，如今是開始防護，監測咱們的電腦是否處於危險，而不是去研究攻擊別人的電腦。此次是「作好事」。咱們採起的辦法是先放火再滅火。