20145228《網絡對抗技術》惡意代碼分析

實驗內容

·監控系統的運行狀態，看有沒有可疑的程序在運行

·分析一個惡意軟件，分析工具儘可能使用原生指令或sysinternals,systracer套件。

基礎問題回答

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

•使用Process Explorer工具，監視進程執行狀況

•利用 sysmon工具，查看相關日誌文件

•在命令行用schtasks指令設置一個計劃任務，每隔一段時間記錄主機使用狀況

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

•wireshark進行抓包

•使用virscan分析惡意軟件

實驗過程

使用schtasks指令監控系統運行

在C盤建立netstatlog.bat，內容爲

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

而後再命令行輸入schtasks /create /TN netstat /sc MINUTE /MO 3 /TR "c:\netstatlog.bat"
每一個三分鐘記錄一次主機聯網信息

最後找到netstatlog.txt

經過百度查詢，其中XLServicePlatform是迅雷有關服務程序

使用virscan分析惡意軟件

·在virscan網站上查看上次實驗所作的後門軟件的文件行爲分析：

文件信息能看到此文件的網絡創建套接字以及刪除了註冊表等行爲

使用wireshark分析惡意軟件回連狀況

此圖就能開出三次握手等傳輸狀況：

後面圖可看出靶機被獲取屏幕截圖的信息：

使用Process Explorer分析惡意軟件

能夠看文件編譯時間、連接器版本等信息

點擊import：能夠查看該文件依賴的dll庫

·msvcrt.dll和KERNEL32.dll屬於通常程序在win下都會調用的dll庫

·advapi32.dll是一個高級API應用程序接口服務庫的一部分，包含的函數與對象的安全性，註冊表的操控以及事件日誌有關。advapi32.dll是一個高級API應用程序接口服務庫的一部分，包含的函數與對象的安全性，註冊表的操控以及事件日誌有關。

·WS2_32.dll，是用來建立套接字的dll庫

使用systracer工具分析惡意軟件

開始創建了4個快照，分別是植入到目標主機中後、惡意軟件啓動回連時、惡意軟件執行ls命令以及惡意軟件執行screenshot命令時的狀況

而後對比一下，發現註冊表變化：

應用程序變化：

這是回連時的鏈接過程

應用接口變化：

能夠看出鏈接請求

PEiD分析惡意軟件

查看惡意軟件的殼的相關信息，以及其所使用的編譯器版本

實驗體會

瞭解了許多不一樣類型的惡意代碼分析軟件，以及各分析軟件的分析優點，面對惡意程序時，靈活應用這些軟件能幫助咱們將惡意程序分析得很透徹。知己知彼才能消滅惡意程序。