20165107 網(wǎng)絡(luò)對抗技術(shù) Exp4 惡意代碼分析

4.1 基礎(chǔ)問題回答

（1）如果在工作中懷疑一臺主機(jī)上有惡意代碼，但只是猜想，所以想監(jiān)控下系統(tǒng)一天天的到底在干些什么。請?jiān)O(shè)計(jì)下你想監(jiān)控的操作有哪些，用什么方法來監(jiān)控。

我所了解的有這些：修改了哪些注冊表、創(chuàng)建了哪些進(jìn)程、占用了哪些端口修改、查看了哪些文件、連接了哪些網(wǎng)絡(luò)。

我所知道的監(jiān)控方法有：可以定時讓主機(jī)執(zhí)行netstat然后分析，發(fā)現(xiàn)網(wǎng)絡(luò)連接異常、可以利用Sysmon，編寫配置文件，記錄與自己關(guān)心的事件有關(guān)的系統(tǒng)日志。

（2）如果已經(jīng)確定是某個程序或進(jìn)程有問題，你有什么工具可以進(jìn)一步得到它的哪些信息。

• 利用Wireshark等網(wǎng)絡(luò)工具查看是否存在可疑連接
• 利用工具Systracer拍攝快照，比對前后區(qū)別，分析改變的注冊表及文件等信息。

4.2 實(shí)踐總結(jié)與體會

通過本次實(shí)驗(yàn)，我對自己的電腦進(jìn)行監(jiān)控，試圖從中找出潛在的惡意代碼，利用各種工具發(fā)現(xiàn)了計(jì)算機(jī)內(nèi)部存在的漏洞，所實(shí)踐的內(nèi)容豐富收獲頗豐，問題是有時會分辨不出哪些是疑似惡意代碼，日后還要加強(qiáng)這方面學(xué)習(xí)。

4.3 實(shí)驗(yàn)內(nèi)容

使用如計(jì)劃任務(wù)，每隔一分鐘記錄自己的電腦有哪些程序在聯(lián)網(wǎng)，連接的外部IP是哪里。運(yùn)行一段時間并分析該文件，綜述一下分析結(jié)果。目標(biāo)就是找出所有連網(wǎng)的程序，連了哪里，大約干了什么(不抓包的情況下只能猜)，你覺得它這么干合適不。如果想進(jìn)一步分析的，可以有針對性的抓包。

安裝配置sysinternals里的sysmon工具，設(shè)置合理的配置文件，監(jiān)控自己主機(jī)的重點(diǎn)事可疑行為。

惡意軟件分析
分析該軟件在(1)啟動回連，(2)安裝到目標(biāo)機(jī)(3)及其他任意操作時（如進(jìn)程遷移或抓屏，重要是你感興趣）。該后門軟件

讀取、添加、刪除了哪些注冊表項(xiàng)

讀取、添加、刪除了哪些文件

4.4實(shí)驗(yàn)過程

系統(tǒng)運(yùn)行監(jiān)控

（1）使用如計(jì)劃任務(wù)，每隔一分鐘記錄自己的電腦有哪些程序在聯(lián)網(wǎng)，連接的外部IP是哪里。運(yùn)行一段時間并分析該文件，綜述一下分析結(jié)果。目標(biāo)就是找出所有連網(wǎng)的程序，連了哪里，大約干了什么。

• 使用schtasks指令監(jiān)控系統(tǒng)

• 使用schtasks /create /TN netstat5107 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstat5107.txt"命令創(chuàng)建計(jì)劃任務(wù)netstat5107

• 在C盤要目錄下建一個文件c:\netstat5107.bat（可以先在桌面新建txt文本文件，使用記事本寫入后在修改后綴為.bat，復(fù)制到C盤中），寫入內(nèi)容如下：

  date /t >> c:\netstat5107.txttime /t >> c:\netstat5107.txt netstat -bn >> c:\netstat5107.txt
• 在左下角Windows處右鍵打開計(jì)算機(jī)管理-任務(wù)計(jì)劃程序，可以看到我們新創(chuàng)建的任務(wù)：

雙擊這個任務(wù)，點(diǎn)擊操作-編輯，將其中的程序或腳本改為我們創(chuàng)建的netstat5107.bat批處理文件，參數(shù)可選項(xiàng)為空，點(diǎn)擊確定。（注意看這里：一定要勾選使用最高權(quán)限運(yùn)行，否則可能導(dǎo)致文件不能自主更新或者記錄里出現(xiàn)權(quán)限問題）

還可在條件中設(shè)置其他屬性，在電源這里默認(rèn)操作為只有在計(jì)算機(jī)使用交流電源時才啟動此任務(wù)，那么使用電池電源時就會停止任務(wù)，所以若保持默認(rèn)注意電腦保持開機(jī)聯(lián)網(wǎng)狀態(tài)！

在計(jì)算機(jī)管理界面對該任務(wù)右鍵點(diǎn)擊運(yùn)行，可在netstat5330.bat目錄下看到一個txt文本文件，打開就可看到每隔一分鐘被輸?shù)竭@里的聯(lián)網(wǎng)數(shù)據(jù)。

現(xiàn)在我們等待一段時間，讓記錄項(xiàng)目足夠多了我們用excel來進(jìn)行分析

分析：聯(lián)網(wǎng)最多的是vmware，因?yàn)槲议_著虛擬機(jī)，其次是SearchUI 經(jīng)網(wǎng)上查詢是聯(lián)想助手的搜索進(jìn)程。SGTool搜狗輸入法的加速啟動程序有兩個，svchost微軟操作系統(tǒng)的系統(tǒng)文件，LenovoPcManagerService是聯(lián)想電腦管家各一次，尚未發(fā)現(xiàn)可疑程序或進(jìn)程。

（2）安裝配置sysinternals里的sysmon工具，設(shè)置合理的配置文件，監(jiān)控自己主機(jī)的重點(diǎn)事可疑行為。

Sysmon是微軟Sysinternals套件中的一個工具。可以監(jiān)控幾乎所有的重要操作，參考

使用輕量級工具Sysmon監(jiān)視你的系統(tǒng)，開始我們的使用。

基本操作

• 確定要監(jiān)控的目標(biāo)：在這里我選擇進(jìn)程創(chuàng)建、進(jìn)程創(chuàng)建時間、網(wǎng)絡(luò)連接、遠(yuǎn)程線程創(chuàng)建
• 寫配置文件
  • 相關(guān)事件過濾器選項(xiàng)在這可看到，進(jìn)程創(chuàng)建ProcessCreate我用到了Image、SourceIp、SourcePort，進(jìn)程創(chuàng)建時間FileCreateTime我用到了Image，網(wǎng)絡(luò)連接NetworkConnect我用了Image、SourceIp、SourcePort，遠(yuǎn)程線程創(chuàng)建CreateRemoteThread我用了TargetImage、SourceImage

  • 開始寫與自己想要監(jiān)控的事件相對應(yīng)的配置文件，命名為20165107Sysmon.txt，內(nèi)容如下：（配置文件是xml文件，為了簡單編輯就直接命令為.txt，每次用寫字本打開。

?

啟動sysmon

• 下載老師給的安裝包并解壓：SysinternalsSuite201608
• 右鍵點(diǎn)擊左下角Windows標(biāo)志，打開Windows PowerShell(管理員)進(jìn)入管理員命令行，先cd進(jìn)入工具目錄，在安裝sysmon：.\Sysmon.exe -i C:\20165107Sysmon.txt（因?yàn)榘蠢蠋煹闹噶顖?bào)錯我將指令改為如上才成功執(zhí)行）
• 彈出窗口點(diǎn)擊Agree，安裝成功

分析實(shí)驗(yàn)二生成的后門程序20165107_backdoor.exe，按步驟執(zhí)行到回連

在點(diǎn)擊Sysmon-Operational刷新記錄

?

惡意軟件分析

靜態(tài)分析

1、使用VirusTotal分析惡意軟件

• 將exp3中生成的加殼后門在VirusTotal進(jìn)行掃描

算法庫支持與加殼情況

2、使用PEiD進(jìn)行外殼檢測

PEiD(PE Identifier)是一款著名的查殼工具，其功能強(qiáng)大，幾乎可以偵測出所有的殼，其數(shù)量已超過470 種PE 文檔 的加殼類型和簽名

• 虛擬機(jī)win7中下載后點(diǎn).exe安裝（別安裝捆綁軟件！）

點(diǎn)擊右下角>>查看詳細(xì)信息

若沒有加殼則顯示

PEiD還可進(jìn)行脫殼

• 下面是通用脫殼器

?

動態(tài)分析

使用SysTracer分析后門軟件的運(yùn)行過程

SysTracer是一款可以分析你的計(jì)算機(jī)文件,文件夾和注冊表項(xiàng)目改變的系統(tǒng)實(shí)用工具。你可以在任何想要的時間獲取無數(shù)個屏幕快照，比較任何一對想要的屏幕快照,并且觀察其間的不同之處。獲取屏幕快照通常會持續(xù)幾分鐘的時間,這取決于文件和文件夾的數(shù)量和注冊表項(xiàng)目的總數(shù)。

• 最好用兩臺虛擬機(jī)：kali和win7
• 下載SysTracer
• 進(jìn)入安裝選擇第二個，next設(shè)置端口為5107（后門生成時利用的端口），安裝完成后進(jìn)入界面

• 這里先創(chuàng)建了3個快照，第一個是系統(tǒng)初始狀態(tài)，第二個是kail成功通過后門獲得了系統(tǒng)的操作，第三個是用查看文件和截屏的命令。

• 可以看到后門進(jìn)程的一些通訊信息、句柄等內(nèi)容。

• ?

?

轉(zhuǎn)載于:https://www.cnblogs.com/3523108059lyl/p/10667689.html

總結(jié)

以上是生活随笔為你收集整理的20165107 网络对抗技术 Exp4 恶意代码分析的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。