1.實(shí)踐目標(biāo)

?1.1監(jiān)控自己系統(tǒng)的運(yùn)行狀態(tài)，看有沒(méi)有可疑的程序在運(yùn)行。

?1.2分析一個(gè)惡意軟件，就分析Exp2或Exp3中生成后門軟件；分析工具盡量使用原生指令或sysinternals,systracer套件。

?1.3假定將來(lái)工作中覺(jué)得自己的主機(jī)有問(wèn)題，就可以用實(shí)驗(yàn)中的這個(gè)思路，先整個(gè)系統(tǒng)監(jiān)控看能不能找到可疑對(duì)象，再對(duì)可疑對(duì)象進(jìn)行進(jìn)一步分析，好確認(rèn)其具體的行為與性質(zhì)。

2.實(shí)踐內(nèi)容

?2.1系統(tǒng)運(yùn)行監(jiān)控（2分）

（1）使用如計(jì)劃任務(wù)，每隔一分鐘記錄自己的電腦有哪些程序在聯(lián)網(wǎng)，連接的外部IP是哪里。運(yùn)行一段時(shí)間并分析該文件，綜述一下分析結(jié)果。目標(biāo)就是找出所有連網(wǎng)的程序，連了哪里，大約干了什么(不抓包的情況下只能猜)，你覺(jué)得它這么干合適不。如果想進(jìn)一步分析的，可以有針對(duì)性的抓包。

（2）安裝配置sysinternals里的sysmon工具，設(shè)置合理的配置文件，監(jiān)控自己主機(jī)的重點(diǎn)事可疑行為。

?2.2惡意軟件分析（1.5分）

分析該軟件在(1)啟動(dòng)回連，(2)安裝到目標(biāo)機(jī)(3)及其他任意操作時(shí)（如進(jìn)程遷移或抓屏，重要是你感興趣）。

該后門軟件

（3）讀取、添加、刪除了哪些注冊(cè)表項(xiàng)

（4）讀取、添加、刪除了哪些文件

（5）連接了哪些外部IP，傳輸了什么數(shù)據(jù)（抓包分析）

3.報(bào)告內(nèi)容

? 3.1實(shí)驗(yàn)后回答問(wèn)題

（1）如果在工作中懷疑一臺(tái)主機(jī)上有惡意代碼，但只是猜想，所有想監(jiān)控下系統(tǒng)一天天的到底在干些什么。請(qǐng)?jiān)O(shè)計(jì)下你想監(jiān)控的操作有哪些，用什么方法來(lái)監(jiān)控。

? ? ? ? 使用Sysmon，編寫配置文件，記錄有關(guān)的系統(tǒng)日志

? ? ? ? 使用wireshark抓取數(shù)據(jù)包，進(jìn)行分析

? ? ? ? 使用Process Explorer工具，監(jiān)視進(jìn)程執(zhí)行情況。

（2）如果已經(jīng)確定是某個(gè)程序或進(jìn)程有問(wèn)題，你有什么工具可以進(jìn)一步得到它的哪些信息。

? ? ? ?? 通過(guò)schtasks指令監(jiān)控系統(tǒng)，判斷是否有可疑連接。

　　? 使用systracer工具進(jìn)行快照，對(duì)比注冊(cè)表、文件等信息，分析惡意軟件。

?3.2實(shí)驗(yàn)總結(jié)與體會(huì)

? ? ? ? 本次實(shí)驗(yàn)的內(nèi)容非常豐富，在操作上沒(méi)有之前的實(shí)驗(yàn)?zāi)敲磸?fù)雜，主要復(fù)雜的地方在下載安裝軟件并利用這些軟件分析惡意代碼，了解和使用了不少用于檢測(cè)惡意代碼的指令和軟件，自己明顯在數(shù)據(jù)分析的過(guò)程中感覺(jué)到了吃力，看不懂，不知道從哪里下手，有了不少收獲，但也看到了自己在能力方面的不足。

?

4.實(shí)踐過(guò)程記錄

?4.1使用schtasks指令監(jiān)控系統(tǒng)

以管理身份運(yùn)行命令行，創(chuàng)建計(jì)劃任務(wù)（TN是TaskName的縮寫，后跟創(chuàng)建的計(jì)劃任務(wù)名；sc表示計(jì)時(shí)方式，這里以分鐘計(jì)時(shí)填MINUTE；TR=Task Run，要運(yùn)行的指令是 netstat -bn，b表示顯示可執(zhí)行文件名，n表示以數(shù)字來(lái)顯示IP和端口。）

?schtasks /create /TN netstat4302 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstat4302.txt"?

這樣每五分鐘就會(huì)監(jiān)測(cè)哪些程序重在聯(lián)網(wǎng)并記錄下來(lái)。

在C盤中創(chuàng)建一個(gè)netstat4302.bat腳本文件（可先創(chuàng)建txt文本文件，使用記事本寫入后，通過(guò)修改文件名來(lái)更改文件格式）

在腳本文件中寫入以下命令

date /t >> c:\netstat4302.txt time /t >> c:\netstat4302.txt netstat -bn >> c:\netstat4302.txt

通過(guò)搜索打開”任務(wù)計(jì)劃程序“，看到我們新創(chuàng)建的這個(gè)任務(wù)，對(duì)其進(jìn)行配置。

選中該任務(wù)，在所選項(xiàng)中點(diǎn)擊“屬性”進(jìn)行配置，點(diǎn)擊操作并編輯，將“程序或腳本”改為創(chuàng)建netstat4302.bat，并將“添加參數(shù)”清空

?

我在第一次操作時(shí)，沒(méi)有將此處的參數(shù)清空，后面的實(shí)踐中出現(xiàn)了，無(wú)法自動(dòng)更新txt文件的情況，將參數(shù)清空后問(wèn)題得以解決，但是我也不太清楚究竟是原因，個(gè)人感覺(jué)是“添加參數(shù)”優(yōu)先級(jí)高于“設(shè)置程序或腳本”，純屬猜測(cè)。。。

?

取消勾選“電源”中的選項(xiàng)，否則改用電池電源時(shí)就會(huì)停止任務(wù)。

需要使用最高權(quán)限運(yùn)行該任務(wù)

等一段時(shí)間之后，在C盤中的txt文件中，就可以看到連接記錄

剛開始內(nèi)容比較少，可以多等幾個(gè)小時(shí)，等有一定的量再進(jìn)行分析。

新建一個(gè)Excel工作表，導(dǎo)入netstat4302.txt。

按照如下步驟進(jìn)行

成功導(dǎo)入之后，就是這個(gè)樣子。

然后通過(guò)“數(shù)據(jù)透視工具”，可以有一個(gè)有較直觀的結(jié)果。

大部分不知道具體干什么的，簡(jiǎn)單查一下前幾個(gè)看看。

我用的殺毒軟件就是金山毒霸，看來(lái)正常，沒(méi)什么問(wèn)題。

百度百科查不到，隨便找了一個(gè)百度知道，我個(gè)人感覺(jué)應(yīng)該是我用的Win10自帶的瀏覽器Microsoft Edge有關(guān)，但是后面有MicrosoftEdge.exe的程序，這個(gè)多CP的不清楚。。。

wps.exe和QQ.exe應(yīng)該是當(dāng)時(shí)打開的WPS和QQ。

?

?

沒(méi)找到百度百科，但是大概知道是什么了，原來(lái)是小娜，個(gè)人覺(jué)得小娜在某些時(shí)候還是挺方便的，對(duì)于我這種存東西比較凌亂的人來(lái)說(shuō)，hhh，看這個(gè)數(shù)量，也說(shuō)明我用得不少了。

Skype，算是微軟自帶的聊天軟件吧，但我沒(méi)怎么用過(guò)，什么時(shí)候聽說(shuō)不太安全來(lái)著，看樣子是不怎么安全，我這個(gè)期間都沒(méi)有用它，居然還有不少連接。。。

vmare.exe可以過(guò)

恩，是的，我電腦上同時(shí)裝了金山毒霸和電腦管家的人。。。分析差不多了，下一步。

4.2使用sysmon工具監(jiān)控系統(tǒng)

sysmon是微軟Sysinternals套件中的一個(gè)工具，使用sysmon工具前首先要配置文件。

首先要下載，我是從別人的博客里的鏈接下載

一鍵安裝命令（需要以管理員身份運(yùn)行cmd）： sysmon -accepteula -i -n?

創(chuàng)建配置文件20164302.xml

<Sysmon schemaversion="4.20"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude"><Signature condition="contains">microsoft</Signature><Signature condition="contains">windows</Signature></DriverLoad><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><Image condition="end with">iexplorer.exe</Image><Image condition="end with">firefox.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp><DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> </NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">firefox.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread><ProcessCreate onmatch="include"><Image condition="end with">chrome.exe</Image><Image condition="end with">iexplorer.exe</Image><Image condition="end with">firefox.exe</Image></ProcessCreate><FileCreateTime onmatch="exclude" ><Image condition="end with">firefox.exe</Image> </FileCreateTime><FileCreateTime onmatch="include" ><TargetFilename condition="end with">.tmp</TargetFilename> <TargetFilename condition="end with">.exe</TargetFilename> </FileCreateTime></EventFiltering> </Sysmon>

將sysmon按照修改好的配置文件進(jìn)行更新，?sysmon -c C:\20164302.xml .

?

通過(guò)搜索打開“事件查看器”，在應(yīng)用程序和服務(wù)日志->Microsoft->Windows->Sysmon->Operational中，可以看到按照配置文件的要求記錄的新事件，以及事件ID、任務(wù)類別、詳細(xì)信息等。

運(yùn)行一個(gè)后門，kali回連一下。

搜索一下。

真的找到了20164302_backdoor.exe的記錄，通過(guò)詳細(xì)信息可以看到這個(gè)后門映像文件的具體位置、源IP和端口、目的IP和端口等。

4.3使用VirusTotal分析惡意軟件

把生成的惡意代碼放在VirusTotal進(jìn)行分析，基本情況如下：

查看其基本信息（如：MD5值、SHA-1值、文件類型、TRiD值?[TRiD通過(guò)讀取文件頭，根據(jù)特征碼進(jìn)行文件類型匹配]、需要的dll庫(kù)）

4.4使用Process Monitor分析惡意軟件

下載地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon

（1）?打開軟件，可以看出其對(duì)各個(gè)進(jìn)程的詳細(xì)記錄

因?yàn)楦鷮W(xué)號(hào)相關(guān)的后門程序太多了，為了好找一點(diǎn)，重新命名了名字1234567890.exe，找到后門，發(fā)現(xiàn)它進(jìn)行了創(chuàng)建文件、控制文件系統(tǒng)等操作，打開詳細(xì)信息，發(fā)現(xiàn)運(yùn)用的dll庫(kù)的描述與VirusTotal網(wǎng)站類似。

4.5使用Process Explorer分析惡意軟件

下載地址：https://process-explorer.en.softonic.com

靶機(jī)運(yùn)行木馬，回連攻擊機(jī)時(shí)，我們可以看到Process Explorer對(duì)其進(jìn)行的記錄（查看其詳細(xì)信息，可發(fā)現(xiàn)攻擊機(jī)的IP和端口號(hào)）

4.6使用PEiD分析惡意軟件

PEiD(PE Identifier)是一款著名的查殼工具，其功能強(qiáng)大，幾乎可以偵測(cè)出所有的殼，其數(shù)量已超過(guò)470 種PE 文檔 的加殼類型和簽名。

先找一個(gè)第二次實(shí)驗(yàn)生成的，沒(méi)有加殼的木馬，其檢測(cè)結(jié)果如下

使用UPX加殼后，PEiD成功檢測(cè)出了加殼的相關(guān)信息。

4.7使用systracer分析惡意軟件

?

下載SysTracer工具

點(diǎn)擊右側(cè)的take snapshot，存儲(chǔ)快照

快照一：未移植后門程序，保存為Snapshot #1

快照二：移植后門程序，保存為Snapshot #2

快照三：運(yùn)行后門程序并在kali中實(shí)現(xiàn)回連，保存為Snapshot #3

快照四：在kali中使用dir、ls指令，保存為Snapshot #4

快照五：在kali中提權(quán)，保存為Snapshot #5

因?yàn)閣indows上的東西太多了，快照照了很久。。。、

通過(guò)右下角的compare鍵或者View Differences Lists比對(duì)各快照，可以選擇Only Difference只查看不同的項(xiàng)。因?yàn)閣indows并不是在虛擬機(jī)環(huán)境下，所以有很多Systracer未授權(quán)的地方?jīng)]法查看。

?可以看到，該后門程序生成了很多文件、目錄和鍵值。還有一些新建連接，其中有與后門程序相關(guān)的。

?在Opened Ports中可發(fā)現(xiàn)攻擊機(jī)的IP和端口號(hào)。

?注冊(cè)表項(xiàng)中有以下變化

?

轉(zhuǎn)載于:https://www.cnblogs.com/wyf20164302/p/10666634.html

總結(jié)

以上是生活随笔為你收集整理的Exp4 恶意代码分析 20164302 王一帆的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。