實踐目標

1.1是監(jiān)控你自己系統(tǒng)的運行狀態(tài)，看有沒有可疑的程序在運行。

1.2是分析一個惡意軟件，就分析Exp2或Exp3中生成后門軟件；分析工具盡量使用原生指令或sysinternals,systracer套件。

1.3假定將來工作中你覺得自己的主機有問題，就可以用實驗中的這個思路，先整個系統(tǒng)監(jiān)控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行為與性質(zhì)。

實驗內(nèi)容

• 一.系統(tǒng)運行監(jiān)控（2分）

  （1）使用如計劃任務(wù)，每隔一分鐘記錄自己的電腦有哪些程序在聯(lián)網(wǎng)，連接的外部IP是哪里。運行一段時間并分析該文件，綜述一下分析結(jié)果。目標就是找出所有連網(wǎng)的程序，連了哪里，大約干了什么(不抓包的情況下只能猜)，你覺得它這么干合適不。如果想進一步分析的，可以有針對性的抓包。

  （2）安裝配置sysinternals里的sysmon工具，設(shè)置合理的配置文件，監(jiān)控自己主機的重點事可疑行為。

• 二.惡意軟件分析（1.5分）

分析該軟件在(1)啟動回連，(2)安裝到目標機(3)及其他任意操作時（如進程遷移或抓屏，重要是你感興趣）。該后門軟件

（3）讀取、添加、刪除了哪些注冊表項

（4）讀取、添加、刪除了哪些文件

（5）連接了哪些外部IP，傳輸了什么數(shù)據(jù)（抓包分析）

課后問題

• （1）如果在工作中懷疑一臺主機上有惡意代碼，但只是猜想，所有想監(jiān)控下系統(tǒng)一天天的到底在干些什么。請設(shè)計下你想監(jiān)控的操作有哪些，用什么方法來監(jiān)控。

首先就是監(jiān)控自己系統(tǒng)中有哪些程序在運行，每個五分鐘或者十分鐘檢查一下系統(tǒng)中有哪些應(yīng)用程序的進程，但是這個時間間隔也有可能會錯過一些進程，比如說每隔一小時才啟動一次的程序，有可能不會被記錄下來，要是他啟動時間特別短的話，還有就是監(jiān)控一下遠程連接的IP地址和自己的IP地址，看一下連接到了哪里，再看一下端口號，看看是那些應(yīng)用程序在使用端口。

• （2）如果已經(jīng)確定是某個程序或進程有問題，你有什么工具可以進一步得到它的哪些信息。

1.使用sysmon工具監(jiān)控系統(tǒng) 2.使用VirusTotal分析惡意軟件 3.使用Process Monitor分析惡意軟件Process Monitor 是一款由 Sysinternals 公司開發(fā)的包含強大的監(jiān)視和過濾功能的高級 Windows 監(jiān)視工具，可實時顯示文件系統(tǒng)、注冊表、進程/線程的活動 4.使用Process Explorer分析惡意軟件Process Explorer是由Sysinternals開發(fā)的Windows系統(tǒng)和應(yīng)用程序監(jiān)視工具，目前已并入微軟旗下。不僅結(jié)合了Filemon（文件監(jiān)視器）和Regmon（注冊表監(jiān)視器）兩個工具的功能，還增加了多項重要的增強功能。包括穩(wěn)定性和性能改進、強大的過濾選項、修正的進程樹對話框（增加了進程存活時間圖表）、可根據(jù)點擊位置變換的右擊菜單過濾條目、集成帶源代碼存儲的堆棧跟蹤對話框、更快的堆棧跟蹤、可在 64位 Windows 上加載 32位 日志文件的能力、監(jiān)視映像（DLL和內(nèi)核模式驅(qū)動程序）加載、系統(tǒng)引導(dǎo)時記錄所有操作等。5.使用PEiD分析惡意軟件PEiD(PE Identifier)是一款著名的查殼工具，其功能強大，幾乎可以偵測出所有的殼，其數(shù)量已超過470 種PE 文檔 的加殼類型和簽名。6.使用systracer分析惡意軟件

實驗過程與內(nèi)容

實驗一 使用schtasks指令監(jiān)控系統(tǒng)

• 使用管理員權(quán)限創(chuàng)建任務(wù)，命令如下schtasks /create /TN netstat5303 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令創(chuàng)建計劃任務(wù)netstat5303
  
• 其中，TN是TaskName的縮寫，我們創(chuàng)建的計劃任務(wù)名是netstat5303；sc表示計時方式，我們以分鐘計時填MINUTE；TR=Task Run，要運行的指令是 netstat -bn,b表示顯示可執(zhí)行文件名，n表示以數(shù)字來顯示IP和端口。
• 在C盤先創(chuàng)建一個TXT文件，然后把如下代碼寫入
  date /t >> c:\netstat5303.txt time /t >> c:\netstat5303.txt netstat -bn >> c:\netstat5303.txt
• 然后修改后綴名改為.bat，使其成為一個腳本文件，我改的是netstat5303.bat
  
• 打開我的電腦，右鍵單擊管理，點擊任務(wù)計劃管理，再點擊任務(wù)計劃程序庫就可以看到自己剛剛創(chuàng)建的任務(wù)計劃
  
• 雙擊任務(wù)點擊編輯，將“程序或腳本”改為我們創(chuàng)建的netstat5303.bat批處理文件，確定即可。添加參數(shù)那里需要把其他的數(shù)據(jù)都刪掉，在首界面要點擊使用最高權(quán)限運行，否則的話就可能在C盤中無法創(chuàng)建TXT文件，因為權(quán)限不夠，無法寫入
  
• 任務(wù)還有其他屬性，比如默認操作為“只有在計算機使用交流電源時才啟動此任務(wù)”，所有說在使用電池的時候你是無法啟動此任務(wù)的，這點要注意
• 執(zhí)行此任務(wù)一段時間后你就會在C盤里面看見自己創(chuàng)建的netstat5303.txt
  
• 然后在Excel中把自己的數(shù)據(jù)進行系統(tǒng)性的分析，首先導(dǎo)入數(shù)據(jù)，點擊數(shù)據(jù)，選擇來自文本，找到自己的TXT，導(dǎo)入進去
  

• 選擇分隔符號，可以直接從第十行開始導(dǎo)入
  

• 分隔符號選為tab鍵和空格鍵

• 列數(shù)據(jù)格式選為常規(guī)就可以了
  
  然后就可以看到自己所創(chuàng)建的表格了，非常整齊
  
• 對表格進行統(tǒng)計做一些數(shù)據(jù)透視圖，然后就可以更直觀的看到那些應(yīng)用程序進行了鏈接
  
• 從數(shù)據(jù)里面看到發(fā)現(xiàn)winstore鏈接的次數(shù)最多，可能是因為我在后臺下載win10商店游戲的緣故
• 接下來的程序就是kbasesrv.EXE 他是金山旗下的一個軟件程序。該程序由金山旗下軟件靜默下載安裝到電腦里，使用特定參數(shù)啟動并篡改首頁。用戶雙擊打開桌面的快捷方式，會啟動IE瀏覽器并訪問毒霸網(wǎng)址大全。但是我已經(jīng)在好幾天前就已經(jīng)把金山毒霸給卸載了，沒想到他還在啟動某些服務(wù)，說明卸載沒有卸載完全，讓人細思極恐，可以想象我們以前安裝的軟件好多都卸載不干凈，然后就會導(dǎo)致系統(tǒng)運行的越來越慢。
• 在接下來的就是QQ瀏覽器了，因為我用的就是QQ瀏覽器，做實驗的時候看一下參考，所以他在鏈接也比較正常了
• 在接下來的就是迅雷了，但是我明明沒有啟動迅雷，但是他卻在運行，這就讓人琢磨不透了，他究竟是如何啟動的，什么時候啟動的。
• 下面一張圖就是本地鏈接的地址了
  
  可以看到用的最多的就是127.0.0.1和192.168.1.155這應(yīng)該是我的本機的地址
• 再下來就是我的電腦連接的外部的IP地址了
  
• 發(fā)現(xiàn)鏈接的最多的就是60.221.218.74放到百度看一下這是哪里，這是山西臨汾的一個地址

• 接下來的121.29.54.199這是河北省石家莊市 聯(lián)通不是太能看出來究竟是哪里的服務(wù)器
  這個實驗到這里基本上就結(jié)束了

實驗二 系統(tǒng)監(jiān)控——Sysmon工具

• Sysmon是微軟Sysinternals套件中的一個工具，能監(jiān)控幾乎所有的重要操作。
• 首先我們根據(jù)實驗指導(dǎo)書中的鏈接下載一下Sysinternals套件，下載下來之后解壓到c盤或者什么地方都可以，只要方便即可
• 接下里，我們來新建并編輯配置文件C:\20165303.xml exclude相當(dāng)于白名單，里面的程序或IP不會被記錄，include相當(dāng)于黑名單，可以把自己想監(jiān)控的寫到黑名單中~
• 這是我編輯的我自己的xml文件

<Sysmon schemaversion="3.10"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude"><Signature condition="contains">microsoft</Signature><Signature condition="contains">windows</Signature></DriverLoad><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><Image condition="end with">iexplorer.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp></NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread></EventFiltering> </Sysmon>

• 接下來使用命令sysmon.exe -i C:\20165303.xml進行Sysmon的配置更新與啟動
  
• 這是配置好的截圖，可以看到各種命令參數(shù)。
• 接下來在win10環(huán)境下，左下角開始菜單右擊開始——事件查看器——應(yīng)用程序和服務(wù)日志——Microsoft————Windows——Sysmon——Operational。這里，我們可以看到按照配置文件的要求記錄的新事件，以及事件ID、任務(wù)類別、詳細信息等等。
  

• 不同的事件有不同的識別碼
  事件識別碼1 :進程建立 事件識別碼2 :進程更改了文件創(chuàng)建時間 事件識別碼3 :網(wǎng)絡(luò)連接 事件識別碼4 : Sysmon服務(wù)狀態(tài)已變更 事件識別碼5 :進程已終止 事件識別碼6 :已載入驅(qū)動程式 事件識別碼7 :已載入影像 事件識別碼8 :創(chuàng)建遠程線程 事件識別碼9 : RawAccessRead 事件識別碼10 :進程訪問 事件識別碼11 :文件創(chuàng)建 事件識別碼12 :注冊事件(創(chuàng)建和刪除對象) 事件識別碼13 :注冊事件(值集) 事件識別碼14 :注冊事件(鍵和值重命名) 事件識別碼15 :文件創(chuàng)建流哈希 事件識別碼255 :錯誤

• 觀察一個事件識別碼為3的詳細信息，可以看到這是一個有關(guān)QQ瀏覽器網(wǎng)絡(luò)連接的事件
  

• 觀察一個事件識別碼為5的詳細信息，可以看到這是一個有關(guān)搜狗輸入法的進程終止事件，可以想一下，應(yīng)該是輸入終止了，然后搜狗輸入法結(jié)束了輸入進程
  

• 在觀察一個事件識別碼為1的詳細信息，可以看到這是有關(guān)QQ瀏覽器的進程建立的事件，應(yīng)該就是qq瀏覽器重新進行了喚醒，然后建立了進程
  

• 然后我們打開我們的kali虛擬機，然后使用我們實驗三中的后門文件進行回連，然后觀察回連成功后的日志
  

• 可以看到20165303wy.EXE后門程序創(chuàng)建了網(wǎng)絡(luò)連接，這應(yīng)該就是后門回連的時候創(chuàng)建的網(wǎng)絡(luò)連接使用tcp連接，連接的目的IP地址為192.168.1.154，正是我的kali虛擬機的IP地址，端口也是我設(shè)置的5303端口，這詳細而又充分的體現(xiàn)了我們通過后門程序控制windows的過程！
  

• 接下來我們進行拍照看一下又創(chuàng)建了哪些進程，從圖上看到，啟動了driver，這應(yīng)該是驅(qū)動進程，我猜想應(yīng)該是啟動了相機的驅(qū)動程序，而且他的事件識別碼也是6，已載入驅(qū)動程式
  

• 接下來進行截屏的操作，從圖上看出來進行了網(wǎng)絡(luò)連接，應(yīng)該是截了屏之后把數(shù)據(jù)傳過去了，所以才會有網(wǎng)絡(luò)連接，事件識別碼3 :網(wǎng)絡(luò)連接
  

這個實驗差不多也分析完了，比較簡單的可以分析出來究竟他干了些什么，但是更深層次的就不是那么容易分析了

實驗三 惡意軟件分析

先把自己的后門軟件丟到網(wǎng)站上看一下究竟怎么樣，發(fā)現(xiàn)能被檢測出來的概率還是挺大的

使用systracer進行分析

• 首先下載systracer，在網(wǎng)上找了一個中文版的，哈哈哈英文版看不太懂https://pan.baidu.com/s/17z9wW_ieYEJCJfz7ky8PQA#list/path=%2Fsharelink3890020941-823790193933702%2F20451&parentPath=%2Fsharelink3890020941-823790193933702這是百度云的鏈接，想要的同學(xué)可以直接下載一下就能用了
• 我是在win7虛擬機和kali里面做的，英win7虛擬機的文件比較少，掃描的時候花的時間更短，這是在程序運行的截圖
  
• 點擊創(chuàng)建快照，若如下圖沒有全選，可以選擇——僅掃描指定項，然后將下面的全選，之后就可以點擊開始啦，接著等一會，掃描結(jié)束之后會彈出一個框，點擊OK，快照就會自己保存下來
  

• 我們可以進行以下操作進行對比操作
  在win7虛擬機安裝SysTracer軟件后保存快照，命名為Snapshot #1 將木馬植入靶機，對靶機注冊表、文件等進行快照，保存為Snapshot #2 打開kali的msfconsle，靶機運行木馬，回連kali，win7下再次快照，保存為Snapshot #3 在kali中對靶機進行屏幕截圖，win7下再次快照，保存為Snapshot #4 在kali中對靶機進行提權(quán)操作，win7下再次快照，保存為Snapshot #5
  
  
  

• 接下來點擊右下角的比較，看一下究竟有什么變化
• 這是注冊表的變化，在進行kali回連的時候他對很多注冊表項都進行了改變
  

• 這是文件的變化，發(fā)現(xiàn)也有不少文件發(fā)生了變化，尤其是20165303wy.exe,這是我電腦中的后門文件
  

• 在下面就是應(yīng)用程序的變化，主要的還是我的后門程序的變化20165303wy.exe
  

接下來用wireshark抓包分析連接了哪些外部IP，傳輸了什么數(shù)據(jù)

• 設(shè)置主機host為192.168.1.154,我的kali虛擬機的IP地址，然后回連看抓到了哪些東西
  
• 發(fā)現(xiàn)大部分的包都是請求的tcp三次握手請求建立的包，可能他是在大量的發(fā)送請求命令然后進行連接
  
• 然后打開一個命令包看看里面到到底有什么，發(fā)現(xiàn)果然就是一些建立連接的內(nèi)容三次握手包
  

• 然后進行截屏或者錄像等操作，看看抓了什么
  
  還是一些tcp連接請求包
  

• 再來看一下具體內(nèi)容，發(fā)現(xiàn)也是一些tcp傳輸數(shù)據(jù)
  

下面我們用peid文件格式識別（peid工具）來分析一下

• 發(fā)現(xiàn)查到了加殼upx1
  還發(fā)現(xiàn)有的并沒有發(fā)現(xiàn)加殼，但是我是加了的

有的也沒有被查到，哈哈哈哈

然后用pe explorer分析一下，發(fā)現(xiàn)還有點看不太懂

使用Process Explorer分析惡意軟件

• 由Sysinternals開發(fā)的Windows系統(tǒng)和應(yīng)用程序監(jiān)視工具，目前已并入微軟旗下。不僅結(jié)合了Filemon（文件監(jiān)視器）和Regmon（注冊表監(jiān)視器）兩個工具的功能，還增加了多項重要的增強功能。包括穩(wěn)定性和性能改進、強大的過濾選項、修正的進程樹對話框（增加了進程存活時間圖表）、可根據(jù)點擊位置變換的右擊菜單過濾條目、集成帶源代碼存儲的堆棧跟蹤對話框、更快的堆棧跟蹤、可在 64位 Windows 上加載 32位 日志文件的能力、監(jiān)視映像（DLL和內(nèi)核模式驅(qū)動程序）加載、系統(tǒng)引導(dǎo)時記錄所有操作等。

• 靶機運行后門程序進行回連的時候可以看的到20165303wy程序進行了運行，還有他的子程序conhost也進行了運行
  

• 下面這是程序的詳細信息
  

• 這個軟件還可以讓我們進行系統(tǒng)資源的監(jiān)控，類似于Windows的資源監(jiān)控器
  

使用Process Monitor進行分析

Process Monitor一款系統(tǒng)進程監(jiān)視軟件，總體來說，Process Monitor相當(dāng)于Filemon+Regmon，其中的Filemon專門用來監(jiān)視系統(tǒng) 中的任何文件操作過程，而Regmon用來監(jiān)視注冊表的讀寫操作過程。 有了Process Monitor，使用者就可以對系統(tǒng)中的任何文件和 注冊表操作同時進行監(jiān)視和記錄，通過注冊表和文件讀寫的變化， 對于幫助診斷系統(tǒng)故障或是發(fā)現(xiàn)惡意軟件、病毒或木馬來說，非常 有用。 這是一個高級的 Windows 系統(tǒng)和應(yīng)用程序監(jiān)視工具，由優(yōu)秀的 Sysinternals 開發(fā)，并且目前已并入微軟旗下，可靠性自不用說。

• 運行后門程序進行回連下面是找到這個程序的截圖，不得不說找了費老半天勁
  

• 進程的詳細信息如下
  

• 這是這個后門程序引用的各種其他的庫
  

實驗中遇到的問題

• 首先就是無法生成netstat5303的問題，就是在C盤里權(quán)限不夠，無法寫入，你需要加一個在最高權(quán)限下運行就可以成功創(chuàng)建.txt文件了
• 然后就是在Excel中無法創(chuàng)建數(shù)據(jù)透視圖的問題，由于自己Excel知識沒有學(xué)好，所以需要在百度現(xiàn)學(xué)習(xí)，尤其是怎么統(tǒng)計鏈接數(shù)量那里搞了好久
• 再有就是Sysmon軟件老是安裝不成功，可能是因為我沒有按管理員權(quán)限運行的結(jié)果
• 還有就是systracer軟件里面東西太多，無法靠自己來充分理解里面的變化，只能是知道里面有哪些發(fā)生了變化，而且剛開始在win10主機里做的時候，win10系統(tǒng)太龐大，掃描一次要花費很長時間，所以后來移到了虛擬機中

實驗總結(jié)與體會

本次實驗讓我對電腦中的惡意軟件進行了分析，首先讓我感觸很深 的就是金山毒霸，因為上次實驗要用，所以下載了這個金山毒霸，一般我的電腦是不想裝殺毒軟件的，但是我在后來卸載了以后還是有金山毒霸的進程在系統(tǒng)中頻繁的運行，所以說很多殺毒軟件就是惡意軟件，還有一些軟件就是頻繁的自啟動并且進行網(wǎng)絡(luò)連接，再有通過后門惡意軟件分析，知道了后門軟件還是可以通過監(jiān)控發(fā)現(xiàn)的，他們修改通過注冊表和一些文件的變化來達到自己的目的，這次實驗讓我從攻擊者的身份轉(zhuǎn)變到了分析者，這個感覺很奇妙，讓我明白了這些惡意軟件到底是如何通過什么方式進行運行的，收獲非常大。

轉(zhuǎn)載于:https://www.cnblogs.com/Vventador/p/10652292.html

總結(jié)

以上是生活随笔為你收集整理的2018-2019-2 网络对抗技术 20165303 Exp4 恶意代码分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。