Exp4 恶意代码分析 20154301仉鑫烨
20154301 Exp4 惡意代碼分析
20154301 仉鑫燁
一、 實踐內容
- (1)使用如計劃任務,每隔一分鐘記錄自己的電腦有哪些程序在聯網,連接的外部IP是哪里。運行一段時間并分析該文件,綜述一下分析結果。目標就是找出所有連網的程序,連了哪里,大約干了什么(不抓包的情況下只能猜),你覺得它這么干合適不。如果想進一步分析的,可以有針對性的抓包。
- (2)安裝配置sysinternals里的sysmon工具,設置合理的配置文件,監控自己主機的重點事可疑行為。
- (1)啟動回連時
- (2)安裝到目標機時
(3)其他任意操作時(如進程遷移或抓屏,重要是你感興趣)。該后門軟件
讀取、添加、刪除了哪些注冊表項?
讀取、添加、刪除了哪些文件?
連接了哪些外部IP,傳輸了什么數據(抓包分析)?
二、 基礎問題
如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在干些什么。請設計下你想監控的操作有哪些,用什么方法來監控。
答:重啟計算機,并對計算機的注冊表,進程,端口,服務等內容進行檢測,并使用抓包軟件進行抓包,通過觀察注冊表,進程等內容的變化篩選出可疑的對象,然后針對可疑的對象在抓包過程中具體分析,看看有沒有可以的建立套接字(也就是連接其他IP地址)的可疑操作,觀察可以對象的流量是否異常,對數據包類型解析看看是否有可疑的內容。||| 方法:①注冊表信息的增添修改刪除。②用來進行網絡連接的IP地址端口號。③程序的一系列行為。④可以使用wireshark抓包分析,分析網絡連接狀態;查看軟件注冊表信息;使用SysTracer等軟件查看一段時間內系統注冊表信息文件標化情況,將這些信息錄入excel分析。。
如果已經確定是某個程序或進程有問題,你有什么工具可以進一步得到它的哪些信息。
答:①使用systracer工具,動態分析注冊表修改情況,分析原因,這樣做的目的,查看文件修改情況和端口情況并分析原因。②使用Wireshark進行抓包分析,查看該程序傳輸了哪些數據。
三、實驗過程
系統運行監控
1. Windows計劃任務schtasks
為實現每5min記錄下有哪些程序在連接網絡,輸入以下命令:
schtasks /create /TN 20154301netstat /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > c:\netstatlog.txt"釋義:TN是TaskName的縮寫,我們創建的計劃任務名是20154301netstat;sc表示計時方式,我們以分鐘計時填MINUTE;TR=Task Run,要運行的指令是 netstat -bn,b表示顯示可執行文件名,n表示以數字來顯示IP和端口,MO 表示隔兩分鐘進行一次。
此命令完成后,每五分鐘就會監測哪些程序在使用網絡,并把結果記錄在netstatlog.txt文檔里,但是不顯示記錄的時間和日期,這可能不便于我們判斷,要是想顯示日期和時間,我們可以通過bat批處理文件來實現。
在C盤要目錄下建一個文件c:\netstatlog.bat(先把后綴設為txt,保存好內容后把后綴改為bat)
date /t >> c:\netstat4301.txt
time /t >> c:\netstat4301.txt
netstat -bn >> c:\netstat4301.txt
打開控制面板->任務計劃程序,找到我們的任務20154301netstat
雙擊點開,找到操作,點擊所有項里的屬性選項:
可以對任務進行修改:找到操作選項卡,選擇netstatlog.bat腳本。
修改成功后,顯示:
問題:無法定時記錄數據,需要打開最高權限。
可以看到記錄文件netstatlog.txt中的記錄有了時間:
接下來我們要做的就是等待,等記錄項目夠多了再進行分析。
這里我選擇用excel進行分析:
打開Excel點擊數據選項卡,在獲取外部數據的方式上選擇 來自文本,選擇我們之前記錄連接情況的文本netstatlog.txt:
選擇分隔符號:
分隔符號全部選上:
列數據格式選擇常規:
點擊完成,在excel中格式見下圖
首先去掉重復值:
最終刪除1872個重復值,確定19項內容:
分析其用途
| [vmware-hostd.exe] | 虛擬機 | 實驗 |
| [vmware-authd.exe] | 虛擬機 | 實驗 |
| [vmware.exe] | 虛擬機 | 實驗 |
| [YoudaoNote.exe] | 有道云筆記 | 實驗 |
| [WeChat.exe] | 微信 | 嘮嗑 |
| [360tray.exe] | 360安全衛士實時監控程序 | 安全軟件 |
| [360Game.exe] | 360游戲大廳 | ==???他咋老彈出來== |
| [WINWORD.EXE] | 微軟Microsoft Word的主程序 | 實驗存圖 |
| [EXCEL.EXE] | 微軟Microsoft Excel的主程序 | 實驗數據分析 |
| DiagTrack | 系統負責數據收集和錯誤信息 | |
| [svchost.exe] | 微軟Windows操作系統的系統程序 | |
| [360se.exe] | 從動態鏈接庫 (DLL) 中運行的服務 | |
| [SGTool.exe] | 搜狗輸入法的加速啟動程序 | 打字 |
| [360mobilesrv.exe] | 360手機助手 | ==360太流氓了自動上傳數據== |
| CryptSvc | 系統認證服務 | 微軟公鑰體系PKI |
總而言之我的電腦還是很安全的,但是360的流氓行為(自動后臺打開360手機助手并偷跑流量)確實通過這次實驗引起了我的注意。
2. Sysmon
明確監控目標
—— 網絡連接、驅動加載、遠程線程創建、進程創建、訪問和結束等sysmon微軟Sysinternals套件中的一個工具,可以從碼云項目的附件里進行下載,要使用sysmon工具先要配置文件,一開始我直接用的是老師給的配置文件,創建配置文件20154301.txt(注:一定要以管理員身份運行):
配置好文件之后,要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令對sysmon進行安裝:
啟動之后,便可以到事件查看器里查看相應的日志,在"運行"窗口輸入eventvwr命令(我是直接輸的,這個命令在哪個目錄輸都可以的),打開應用程序和服務日志,根據Microsoft->Windows->Sysmon->Operational路徑找到記錄文件:
我查看了其中一部分事件的詳細信息,比如這個事件是之前做計劃任務時所創建的:
例如下面的事件是360安全瀏覽器對文件的創建時間進行了更改,應該也就是更新:
將后門程序放入windows主機,在Kali下進行回連操作:
木馬很可能偽裝成電腦自帶的explorer.exe進程
之后,我對Sysmoncfg.txt配置文件進行了修改,重點是監視80和443以及4301端口的聯網情況
4301端口
443端口(忘了截圖了)
3. virscan
不知什么原因virscan出現一些問題無法像上屆同學一樣使用,故我最終選擇使用virustotal。
查看細節信息(我盡力想把它看懂,但是我沒有)
4. systracer
點擊take snapshot來快照,四個快照:1.將惡意軟件植入到目標主機中后;2.惡意軟件啟動回連時;3.惡意軟件執行dir命令進行查看時;4.惡意軟件進行截屏操作時。
比較1、2,我們可以看到很多信息,包括IP及端口
惡意軟件執行dir命令時無特殊信息,但在進行截屏操作時注冊表信息有了修改:
5. 聯網情況分析
在后門程序回連時,在主機的命令行中用netstat -n命令查看TCP連接的情況,可以發現其中有進行回連的后門程序:
回連時建立tcp連接
在后門程序回連時,打開wireshark,進行捕包分析,查看詳細的協議分析發現,后門程序建立了三次握手并回連時進行了基于IP和端口的連接
6. Process Monitor
- 打開Process Monitor就可以就看到按時間排序的winxp執行的程序的變化,運行一下后門程序4301.exe,再刷新一下Process Monitor的界面,可以指定查找到程序。
7. PEiD
- PEiD是一個常用的的查殼工具,可以分析后門程序是否加了殼。
加殼
不加殼
8. Process Explorer
打開Process Explorer,運行后門程序4301.exe,在Process欄可以找到4301.exe
- 雙擊后門程序4301.exe一行,點擊不同的頁標簽可以查看不同的信息:
TCP/IP頁簽有程序的連接方式、回連IP、端口等信息。
Performance頁簽有程序的CPU、I/O、Handles等相關信息。
四、實驗體會
- 本次實驗極為繁瑣,由于對各種軟件的不熟悉,消耗了很多時間,學長學姐們的報告給了我很多幫助。在實驗中,我掌握了各類分析惡意軟件的方法,也發現了自己電腦中平時沒有關注到的流氓軟件,十分受益。另外在本次實驗的學習過程中,我對惡意軟件的特征認識也有了很大的提升,比如篩選可以對象,查看是否含有建立套接字的可以操作等等。總之本次實驗雖然麻煩,但收獲良多。
轉載于:https://www.cnblogs.com/z20154301/p/8807752.html
總結
以上是生活随笔為你收集整理的Exp4 恶意代码分析 20154301仉鑫烨的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 自勉三句话--关于职业生涯规划
- 下一篇: FPGA除法实现