20145227鄢曼君《網絡對抗》惡意代碼分析

20145227鄢曼君《網絡對抗》惡意代碼分析

基礎問題回答

（1）若是在工做中懷疑一臺主機上有惡意代碼，但只是猜測，全部想監控下系統一每天的到底在幹些什麼。請設計下你想監控的操做有哪些，用什麼方法來監控。

• 可使用systracer工具比較某個程序的執行先後計算機註冊表、文件、端口的變化狀況。
• 可使用Wireshark進行抓包分析，而後查看該程序聯網時進行了哪些操做。
• 使用netstat命令設置一個計劃任務，指定每隔必定時間記錄主機的聯網記錄等等。
• 能夠經過sysmon工具，配置好想記錄事件的文件，而後在事件查看器裏面查看相關文件。

（2）若是已經肯定是某個程序或進程有問題，你有什麼工具能夠進一步獲得它的哪些信息。

• 可使用systracer工具比較某個程序的執行先後計算機註冊表、文件、端口的變化狀況。
• 可使用Wireshark進行抓包分析，而後查看該程序聯網時進行了哪些操做；

實驗總結與體會

• 此次實驗作的真的是崩潰，開始作的時候kali就出現了問題，死活回連不成功，重啓了屢次也沒辦法，後面把虛擬網絡編輯器還原默認設置才終於能成功回連。使用systracer工具快照的時候快照第一次進行了將近一個小時，心裏很崩潰，這真的是快照嗎！並且在快照五次以後它就壞了，只能從新裝。並且360這個流氓軟件，明明我把生成的後門軟件已經添加了不少次信任，但是他仍是給我刪除了，真的是用一次刪除一次，添加信任也無論用。每次回連到一半它就給我把後門刪了，我也很絕望啊，而後就把它關了。

實踐內容

使用schtasks指令監控系統運行

• 先在C盤目錄下創建一個netstatlog.bat文件，用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中，netstatlog.bat內容爲：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

• 而後打開Windows下命令提示符，輸入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令建立一個每隔兩分鐘記錄計算機聯網狀況的任務：

• 第一次建立完成後，我運行這個任務，發現netstatlog.txt並無顯示出咱們想要的網絡鏈接記錄信息，而是：請求的操做須要提高。而後發現是本身沒有以管理員身份運行。從新建立以後就能夠了。

• 以後查看了一下netstatlog.txt文件，大部分都是正常聯網的應用，沒有什麼異常。

• 次日早上再次查看了這一天當中記錄的主機聯網日誌，還發現了打開後門軟件回連時20145227.exe程序的聯網記錄：

使用sysmon工具監控系統運行

• 用管理員身份運行cmd，按住windows+x鍵，用管理員身份運行，xml文件是老師指導書裏的，保存在sysmon.exe同目錄下就好。輸入如下指令進行安裝配置。

• 右鍵「個人電腦」選擇管理，進入事件查看器，查看日誌：

• 打開kali監聽，進行回連，而後再次查看：

使用virscan分析惡意軟件

• 在virscan網站上查看上次實驗所作的後門軟件的文件行爲分析：

• 能夠看到更多詳細的信息，好比其啓動回連主機的部分IP地址以及端口號，還有對註冊表鍵值進行了刪除等等：

使用systracer工具分析惡意軟件

• 使用systracer工具創建了5個快照，分別是在主機中沒有惡意軟件時、將惡意軟件植入到目標主機中後、惡意軟件啓動回連時、惡意軟件執行ls命令以及惡意軟件執行screenshot命令以後。可是一邊快照一邊在kali裏面使用wireshark補包分析還開了博客的網頁以後電腦卡死了，等了好久以後才恢復正常，而後發現systracer就不能快照了，嘗試着刪除了一個快照後發現仍是不能快照。想着快照一次就要接近一個小時，因此放棄了從新安裝的想法......

• 將惡意軟件植入到目標主機後，快照發現文件中多了一個5227.exe文件：

• Kali回連成功後註冊表發生變化:

使用wireshark分析惡意軟件回連狀況

• 使用wireshark進行抓包後能夠看到，其先進行了TCP的三次握手，以後再進行數據的傳輸，如圖所示，帶有PSH,ACK的包傳送的即是執行相關操做指令時所傳輸的數據包：

使用PEiD分析惡意軟件

• 使用PEiD軟件能夠查看惡意軟件的殼的相關信息，以及其所使用的編譯器版本：