2018-2019-2 20165205《网络对抗技术》Exp4 恶意代码分析
2018-2019-2 20165205《網絡對抗技術》Exp4 惡意代碼分析
實驗要求
監控你自己系統的運行狀態,看有沒有可疑的程序在運行。
分析一個惡意軟件,就分析Exp2或Exp3中生成后門軟件;分析工具盡量使用原生指令或sysinternals,systracer套件。
假定將來工作中你覺得自己的主機有問題,就可以用實驗中的這個思路,先整個系統監控看能不能找到可疑對象,再對可疑對象進行進一步分析,好確認其具體的行為與性質。
基礎問題
1.如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在干些什么。請設計下你想監控的操作有哪些,用什么方法來監控。
2.如果已經確定是某個程序或進程有問題,你有什么工具可以進一步得到它的哪些信息。
使用systracer進行分析,對比運行程序或進程前后發生的變化
實驗內容
1. 系統運行監控(2分)
1.1使用schtasks監控系統
- 在本機中使用schtasks /creat /TN /netstat5205 /sc MINUTE /MO 1 /TR"cmd /c netstat -bn > c:\netstatlog.txt"創建計劃任務netstat5205 - TN 指定任務名稱 - sc 指定記錄間隔時間,這里規定每隔一分鐘記錄一次 - TR 指定運行命令 - bn b指記錄可執行文件名,n指記錄端口和IP ->` 輸出到指定文件
C盤下創建netstat5205.bat腳本文件,寫入以下內容
date/t >> c:\netstatlog.txttime/t >> c:\netstatlog.txtnetstat -bn >> c:\netstatlog.txt在開始中搜索任務計劃程序,找到我們剛剛創建的任務,雙擊,點擊操作,修改,把“程序或腳本”改為netstat5205.bat,然后確定
執行8個小時后進行統計,在excel表中統計所有的exe進程的聯網動態
修改統計范圍
可以看到
- 其中360,wps,WeChat,vm,輸入法,瀏覽器是我可以看懂的,其他
- jucheck.exe是java軟件的檢測升級進程,
- SCMiNi64.exe,這個我沒有怎么查到,查到的只是說這個硬件的運行程序
- SGTool.exe 搜狗輸入法運行的進程之一
svchost.exe 是從動態鏈接庫 (DLL)中運行的服務的通用主機進程名稱。這個程序對系統的正常運行是非常重要
1.2使用sysmon工具監控系統
- 重點監控進程創建,網絡連接和遠程線程創建
- 下載sysinternals
命令行安裝sysmon -accepteula -i -n
創建配置文件Sysmon20165205.xml
<Sysmon schemaversion="3.10"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude"><Signature condition="contains">microsoft</Signature><Signature condition="contains">windows</Signature></DriverLoad><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><Image condition="end with">iexplorer.exe</Image><Image condition="end with">firefox.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp><DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> </NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">firefox.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread><ProcessCreate onmatch="include"><Image condition="end with">chrome.exe</Image><Image condition="end with">iexplorer.exe</Image><Image condition="end with">firefox.exe</Image></ProcessCreate><FileCreateTime onmatch="exclude" ><Image condition="end with">firefox.exe</Image> </FileCreateTime><FileCreateTime onmatch="include" ><TargetFilename condition="end with">.tmp</TargetFilename> <TargetFilename condition="end with">.exe</TargetFilename> </FileCreateTime></EventFiltering></Sysmon>- 重點監視80和443端口,和瀏覽器等聯網應用
- sysmon -c Sysmon20165205.xml完成配置
打開exp3中的后門程序,可以看到捕捉到了后門程序和360的信息,還有未關閉的netatat:
還有SearchFilterHost:是系統自帶的搜索服務:
dllhost這個程序與svhost有關,貌似也是系統程序之一:
2. 惡意軟件分析(1.5分)
2.1使用Virus Total分析惡意軟件
- 對實驗3中的惡意代碼進行檢測:
- 在Details處可以看到基本屬性:SHA-1、MD5摘要值、文件類型、文件大小
2.2使用Process Monitor分析惡意軟件
- 捕捉到各個進程的詳細信息
2.3使用Process Explorer分析惡意軟件
- 運行后門程序,可以看到對后門程序的記錄
2.4使用PEiD分析惡意軟件
- 分別對加殼和未加殼的程序進行檢測
2.5使用systracer分析惡意軟件
- 安裝SysTracer軟件后,記錄各個后門操作,進行對比
- 未植入后門,記錄Snapshot#1
- 后門回連,記錄Snapshot #2
- 后門記錄鍵盤,記錄Snapshot #3
- 后門查看文件,記錄Snapshot #4
- 比較 Snapshot#1和Snapshot #2
可以看到新增文件、目錄,甚至是密鑰(還是口令,這里的Key我不太清楚值什么)
在C:\windows\system32下新增許多dll文件
比較 Snapshot#2和Snapshot #3
攻擊機讀取目標機的鍵盤記錄,這里可以看到新增文件與輸入有關比較 Snapshot#3和Snapshot #4
攻擊機讀取目標機的目錄,這一點我是沒看出來新增了的是什么意思。
實驗體會
- 在實驗中我花了大半天來監視電腦天天都在干什么,通過excle表的分析,最終發現本來自己認為網絡通信不多的程序比如wps,其實在不知不覺中進行了許多網絡通信。
- 在分析中因為自己對各種文件的不熟悉,很多文件不知道的做什么的,只能一個一個查,有些百度出來的結果還不一樣,搞得我都不知道這些程序是安全的還是偽裝安全的了
- 通過自己動手實踐,在后門程序做了很多記錄,發現一個后門程序,尤其的攻擊方有操作時,后門程序會做很大的手腳,也難怪自己的后門會被360發現了
轉載于:https://www.cnblogs.com/mushroomissmart/p/10664437.html
總結
以上是生活随笔為你收集整理的2018-2019-2 20165205《网络对抗技术》Exp4 恶意代码分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Anyconnect Server 搭建
- 下一篇: 开源摄影机:Axiom Camera