2018-2019-2 20165209 《網絡對抗技術》Exp4：惡意代碼分析

1 基礎問題回答和實驗內容

1.1基礎問題回答

• 如果在工作中懷疑一臺主機上有惡意代碼，但只是猜想，所有想監控下系統一天天的到底在干些什么。請設計下你想監控的操作有哪些，用什么方法來監控。

  • 使用schtasks，設置一個計劃任務，每隔一定的時間對主機的聯網記錄等進行記錄。
  • 使用Sysmon軟件，通過快照查看運行情況，記錄相關的日志文件并對比。
  • 使用Process Explorer軟件，監視進程占用資源、連接方式、進程當前的權限。

• 如果已經確定是某個程序或進程有問題，你有什么工具可以進一步得到它的哪些信息。

  • 使用systracer軟件，通過快照查看運行情況，查看惡意軟件對系統進行了哪些非授權操作，修改了哪些注冊表的數據。
  • 使用Process Explorer 查看其連接方式、目的IP、在本地的位置。

1.2 實驗內容

• 系統運行監控

• 惡意軟件分析

2 實驗步驟

2.1 系統運行監控

使用如計劃任務，每隔一分鐘記錄自己的電腦有哪些程序在聯網，連接的外部IP是哪里。運行一段時間并分析該文件，綜述一下分析結果。目標就是找出所有連網的程序，連了哪里，大約干了什么(不抓包的情況下只能猜)，你覺得它這么干合適不。如果想進一步分析的，可以有針對性的抓包。

在C盤下新建一個 netstatlog.bat 和 netstatlog.txt。當執行 netstatlog.bat 時，即可將記錄的聯網結果格式化輸出到 netstatlog.txt 中。（如果C盤不能創建，可以在其他地方建完移動到C盤）

• 右鍵 netstatlog.bat 選擇編輯，輸入

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

• 在命令行輸入schtasks /create /TN 20165209netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"創建一個每隔兩分鐘記錄計算機聯網情況的任務。

• 打開 netstatlog.txt 文件，查看聯網進程。

• 用excel分析netstatlog.txt中的數據。
  • 導入文本數據：新建excel文件->數據->獲取外部數據->自文本
  • 對數據進行統計學分析，生成統計圖。

• 其中 [nvcontainer.exe] 和 [SkypeApp.exe]是我不知道的而且運行很頻繁，我就查了一下資料。（推薦大家一個查詢的網站 https://www.file.net/process/skypeapp.exe.html ，是查詢windows的一些進程的功能的而且會有詳細的解釋，但是是英文版的，我是google翻譯的）

[Nvcontainer.exe]對于Windows不是必需的，并且經常會導致問題。Nvcontainer.exe通常是存放在C:\Program Files\NVIDIA Corporation\NvContainer）。它是服務“NvContainerLocalSystem”：NVIDIA根功能的容器服務。這是Verisign簽名的文件。Nvcontainer.exe不是Windows系統文件。該程序沒有可見的窗口。該文件具有數字簽名。該過程使用端口連接到LAN或Internet。Nvcontainer.exe能夠監控應用程序。nvcontainer.exe也可能是惡意軟件所偽裝，或造成的一些惡意軟件。因此，您應該檢查PC上的nvcontainer.exe進程，看它是否是威脅。

• [nvcontainer.exe]的源IP和目的IP都是127.0.0.1,總結來說，就是它可有可無，而且還很容易被毒。

SkypeApp.exe對于Windows操作系統不是必需的，并且導致相對較少的問題。SkypeApp.exe通常是存放在“C:\Program Files \WindowsApps\Microsoft.SkypeApp_14.33.41.0_x64__kzf8qxf38zg5c。它不是Windows系統文件。該軟件在開放端口上偵聽或發送數據到LAN或Internet。某些惡意軟件偽裝成SkypeApp.exe，尤其是當它位于C:\Windows或C:\Windows \System32文件夾中時。

• [SkypeApp.exe]的源IP是192.168.1.104，目的IP是36.99.30.167，總結來說，它可有可無，可能被毒，被毒的可能性略低于上一個。（我感覺自己被毒了，于是我很快就把NVIDIA相關東西卸載了）

2.2 安裝配置sysinternals里的sysmon工具，設置合理的配置文件，監控自己主機的重點事可疑行為。

• 確定要監控的目標為驅動加載、網絡連接、線程注入，并寫好配置文件，exclude相當于白名單，不用記錄。include相當于黑名單。（我是直接用的老師寫的配置文件“20165209Sysmoncfg.txt”）
• 啟動sysmon
  • 輸入sysmon.exe -i C:\20165209Sysmoncfig.txt安裝sysmon（要以管理員身份運行）
  • 配置文件可以隨時修改，修改完輸入sysmon.exe -c C:\20165209Sysmoncfg.txt更新一下。

• 打開 計算機管理->事件查看器->應用程序和服務日志->Microsoft->Windows->Sysmon->Operational 查看日志。
• 選擇了實驗二中生成的后門5209.exe進行分析。

• 運行dir時出現了 svchost.exe ，它是微軟視窗操作系統里的一個系統進程，管理通過Dll文件啟動服務的其它進程，一些病毒木馬偽裝成系統dll文件通過Svchost調用它，試圖隱藏自己。

• 我還看到了一個感覺是病毒的東西，就是之前我看到的進程[SkypeApp.exe],不知道它目的是干嘛！！！

2.3 惡意軟件分析

• 分析該軟件在(1)啟動回連，(2)安裝到目標機(3)及其他任意操作時（如進程遷移或抓屏，重要是你感興趣）。該后門軟件

  （1）讀取、添加、刪除了哪些注冊表項

  （2）讀取、添加、刪除了哪些文件

  （3）連接了哪些外部IP，傳輸了什么數據（抓包分析）

2.3.1 利用Systracer進行分析

• 下載安裝Systracer。

• 在打開后門前先快照一下，選擇->take snapshot,完成后顯示Snapshop #1。
• Kali開始監聽，Windows運行后門后，回連成功后拍攝快照，完成后顯示Snapshop #2。

• 進行分析：
  • 選擇 pplications->Running Processes->5209.exe->Opened Ports,查看回連地址、遠程地址和端口號。
  • 選擇 Compare 比對計算機發生的變化。（跟著藍色的圖標點就能找到，每個人的不一樣）
  • 發現后門啟動后，對 對注冊表 HKEY_CLASSES_ROOT->Local Settings -> Software 中的文件進行了修改,此外還 HKEY_CURRENT_USER->Software->Classes->SogoInput和SogouInput.user也進行了修改。

2.3.2 利用Process Explorer 進行分析

• Kali回連成功后打開軟件，查看詳細信息。參考了Process Explorer
• 選擇 View->Select Columns 里面有幾個選項可以幫助分析。

  • Image Path：顯示進程的文件路徑

  • Command Line：顯示進程命令行參數

  • Image Type：顯示進程是64位進程還是32位的

  • session ID：顯示進程當前所在的Session ID

  • User Name：顯示進程當前的權限，是系統用戶權限還是網絡管理員權限還是普通管理員權限

實驗總結與體會

實驗本身的操作并不難，但是對于疑似的進程進行辨別和分析還是相對不容易的。但是通過本次實驗，了解了更多關于惡意代碼的知識，它們模仿各種系統進程，混過殺毒軟件的監控，偷偷進行非授權行為。

轉載于:https://www.cnblogs.com/tutu233/p/10660595.html

總結

以上是生活随笔為你收集整理的2018-2019-2 20165209 《网络对抗技术》Exp4：恶意代码分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。