實(shí)踐內(nèi)容

一、系統(tǒng)運(yùn)行監(jiān)控

（1）使用如計(jì)劃任務(wù)，每隔一分鐘記錄自己的電腦有哪些程序在聯(lián)網(wǎng)，連接的外部IP是哪里。運(yùn)行一段時(shí)間并分析該文件，綜述一下分析結(jié)果。目標(biāo)就是找出所有連網(wǎng)的程序，連了哪里，大約干了什么(不抓包的情況下只能猜)，你覺得它這么干合適不。如果想進(jìn)一步分析的，可以有針對性的抓包。

①使用計(jì)劃任務(wù)監(jiān)控聯(lián)網(wǎng)情況

以管理員身份運(yùn)行命令提示符

輸入?schtasks /create /TN 20164309netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"?

其中TN是Task Name；SC:是SChedule type；MO是 MOdifier；TR:是Task Run

這里有一些小小的問題，盡管我們是以管理員身份運(yùn)行的命令行提示符，但是在計(jì)劃中的權(quán)限還是要手動改為最高權(quán)限，為了記錄時(shí)間的準(zhǔn)確性，還可以將間隔時(shí)間改為1分鐘；如果直接使用學(xué)長學(xué)姐的代碼，會覆蓋原有的內(nèi)容，所以在>的后面要多加一個(gè)>才會輸出追加重定向。

?

創(chuàng)建一個(gè)bat文件“netstatlog.bat”，內(nèi)容為:

date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt

本機(jī)不能直接編輯bat文件，并且不能直接在c盤根目錄中創(chuàng)建txt文件，我是先在d盤中創(chuàng)建txt文件，其中輸入內(nèi)容再將后綴改為bat，再將文件剪切至c盤中。

?

再進(jìn)入計(jì)劃任務(wù)中創(chuàng)建任務(wù)“20164309 netstat1”，本任務(wù)的作用是通過記錄時(shí)間。統(tǒng)一標(biāo)準(zhǔn)，設(shè)置為1分鐘運(yùn)行一次。

?

同樣要以最高權(quán)限運(yùn)行。

?

設(shè)置完畢之后可以看到文件內(nèi)容不僅有數(shù)據(jù)還有時(shí)間了。

?

②使用Excel數(shù)據(jù)透視表對收集的數(shù)據(jù)進(jìn)行分析

使用自文本導(dǎo)入外部數(shù)據(jù)netstatlog.txt

?

使用分隔字符將文本導(dǎo)入向?qū)?/span>

插入數(shù)據(jù)透視表

?

選取協(xié)議列進(jìn)行分析

?

刪去不必要的二級字段，將一級字段拖入軸與值

?

將統(tǒng)計(jì)數(shù)據(jù)轉(zhuǎn)換成圖表

?

③將這些程序一一檢查，發(fā)現(xiàn)了以下幾個(gè)有問題：

1. [BrowserProtect99.exe]

?

2.[devenv.exe]

?

3.[GameBarPresenceWriter.exe]

4.DiagTrack

?

5.wlidsvc

?

?

?

（2）安裝配置sysinternals里的sysmon工具，設(shè)置合理的配置文件，監(jiān)控自己主機(jī)的重點(diǎn)事可疑行為。

①編寫配置文件

根據(jù)之前的數(shù)據(jù)收集編寫相應(yīng)的配置文件20164309.xml

<Sysmon schemaversion="3.10"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><ProcessCreate onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <Image condition="end with">MicrosoftEdgeCP.exe</Image> <Image condition="end with">QQ.exe</Image></ProcessCreate><FileCreateTime onmatch="exclude" ><Image condition="end with">chrome.exe</Image><Image condition="end with">MicrosoftEdgeCP.exe</Image> <Image condition="end with">QQ.exe</Image></FileCreateTime><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp></NetworkConnect><NetworkConnect onmatch="include"> <DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort><DestinationPort condition="is">4309</DestinationPort> </NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">MicrosoftEdgeCP.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread></EventFiltering> </Sysmon>

輸入“sysmon64.exe -i ”安裝sysmon

輸入sysmon64.exe -c 20164309sysmonfig.xml，使用配置文件

?

發(fā)現(xiàn)使用的版本號錯(cuò)誤，在xml中改為4.20

?

配置成功

?②復(fù)現(xiàn)實(shí)驗(yàn)二，使用后門進(jìn)行回連

進(jìn)入事件查看器

?

?

搜索4309端口有關(guān)的信息

?

可以清楚地看到回連過程中的各項(xiàng)信息

?

（2）惡意軟件分析

?使用Systracer，對快照進(jìn)行分析

我創(chuàng)建了五組快照，分別為：

snapshot#1.不做操作

snapshot#2.使用ncat傳輸后門

snapshot#3.使用后門，進(jìn)行連接

snapshot#4.使用dir指令查看文件

snapshot#5.使用webcam_snap進(jìn)行拍照

?

由于老師提供的systracer是未破解版本，最多只能創(chuàng)建五次快照容錯(cuò)率低，在我摸索快照使用時(shí)造成了一定的困擾，所以我下載了一個(gè)破解版進(jìn)行試驗(yàn)，但由于破解版缺少相應(yīng)openhandle與openport部分的功能所以我結(jié)合兩個(gè)版本進(jìn)行了實(shí)驗(yàn)。同時(shí)我在實(shí)驗(yàn)開始之時(shí)沒有理解快照的含義，片面地認(rèn)為操作必須在創(chuàng)建快照的時(shí)候進(jìn)行，導(dǎo)致數(shù)據(jù)分析時(shí)產(chǎn)生了問題。

在此選取了情況一些進(jìn)行分析：

snapshot#1 與snapshot#2

最直觀地差異就是傳輸?shù)某晒?span lang="en-us">20164309_backdoor.exe

我是通過ncat傳輸后門的記錄快照時(shí)同時(shí)也使用了systracer，因此ncat、systracer注冊表都有了更改；

?

snapshot#2 與snapshot#3

注冊表中很多項(xiàng)被更改

?

查看端口可以看到連接到虛擬機(jī)4309端口

?

snapshot#3 與snapshot#4

查看openhandle發(fā)現(xiàn)SearchFilterHost被頻繁使用，可能與搜索文件有關(guān)

snapshot#4 與snapshot#5

?

調(diào)用攝像頭時(shí)傳輸照片數(shù)據(jù)時(shí)可能對流量管理有了一些影響

?使用wireshark進(jìn)行抓包

通過抓包可以看到通信在kali端地址為192.168.236.131端口為4309與以太網(wǎng)適配器端（即主機(jī)端）192.168.236.131端口為59132間進(jìn)行，盡管只是進(jìn)行了回彈與文件查詢，但數(shù)據(jù)傳輸進(jìn)行了五百多次，可見后門之所以這么小還能實(shí)現(xiàn)這么多功能并不是由于本身的功勞，更多的是對系統(tǒng)的調(diào)用。

?

?

?實(shí)驗(yàn)后回答問題

（1） 如果在工作中懷疑一臺主機(jī)上有惡意代碼，但只是猜想，所有想監(jiān)控下系統(tǒng)一天天的到底在干些什么。請?jiān)O(shè)計(jì)下你想監(jiān)控的操作有哪些，用什么方法來監(jiān)控。

和本次實(shí)驗(yàn)中所做的一樣，通過運(yùn)用計(jì)劃任務(wù)隔一段時(shí)間來記錄本機(jī)中程序的運(yùn)行情況；

安裝sysmon，有針對性地配置文件，監(jiān)控主機(jī)程序聯(lián)網(wǎng)情況，查看日志進(jìn)行分析

?

（2）如果已經(jīng)確定是某個(gè)程序或進(jìn)程有問題，你有什么工具可以進(jìn)一步得到它的哪些信息。

virscan，靜態(tài)分析

systracer，通過快照分析更改的文件、注冊表、應(yīng)用程序等等

Wireshark，通過抓包分析傳輸數(shù)據(jù)的具體內(nèi)容

?

遇到的問題與實(shí)驗(yàn)心得

遇到的問題在實(shí)驗(yàn)內(nèi)容中已經(jīng)詳細(xì)描述過了，再此不多做贅述；

這四次實(shí)驗(yàn)極大程度上磨煉了我的耐心，對知識掌握不夠牢靠和對工具使用的不熟練導(dǎo)致了我一次次的失敗，盡管磕磕絆絆最后還是成功了，但我還是深感自己能力的不足，希望在余下的五次實(shí)驗(yàn)中，我的能力能夠得到進(jìn)一步的提升。

?

轉(zhuǎn)載于:https://www.cnblogs.com/20164309-kx/p/10665220.html

總結(jié)

以上是生活随笔為你收集整理的Exp4 恶意代码分析 20164309的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。