當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

2018-2019-2 20165114《网络对抗技术》Exp4 恶意代码分析

發布時間：2024/9/5 编程问答 38 豆豆

生活随笔收集整理的這篇文章主要介紹了 2018-2019-2 20165114《网络对抗技术》Exp4 恶意代码分析小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

Exp4 惡意代碼分析

一、實驗目標
- (1)監控你自己系統的運行狀態，看有沒有可疑的程序在運行。
- (2)分析一個惡意軟件，就分析Exp2或Exp3中生成后門軟件；分析工具盡量使用原生指令或sysinternals,systracer套件。
- (3)假定將來工作中你覺得自己的主機有問題，就可以用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行進一步分析，好確認其具體的行為與性質。
二、基礎問題回答
- (1)如果在工作中懷疑一臺主機上有惡意代碼，但只是猜想，所有想監控下系統一天天的到底在干些什么。請設計下你想監控的操作有哪些，用什么方法來監控
- (2)如果已經確定是某個程序或進程有問題，你有什么工具可以進一步得到它的哪些信息。
三、實踐過程記錄
- 使用計劃任務，每隔一分鐘記錄自己的電腦有哪些程序在聯網。
- 使用sysmon工具，監控自己主機的重點事可疑行為。
- 使用VirusTotal分析惡意代碼。
- 使用PEiD檢測可疑對象是否加殼。
- 使用SysTracer分析惡意軟件.
- 使用Process Monitor 監視進程
- 使用Process Explorer 監視進程.
四、實驗總結與體會
五、實驗錯誤與問題及其解決

二、基礎問題回答

[ 如果在工作中懷疑一臺主機上有惡意代碼，但只是猜想，所有想監控下系統一天天的到底在干些什么。請設計下你想監控的操作有哪些，用什么方法來監控。 ]

我想監控的操作有：
(1)注冊表的修改
(2)進程的訪問
(3)數據包的傳送及其中的內容
(4)端口的連接和占用情況(5)防火墻和殺軟的防御和攔截情況。(6)連接了哪些ip。
使用方法監控：
(1)使用windows計劃任務schtasks，定時記錄一下有哪些程序在連接網絡，干了些什么，進行分析。
(2)可以使用工具sysmon監控幾乎所有的重要操作，并在事件查看器中查看日志，尋找惡意代碼的痕跡。
(3)使用Process Explorer監視系統和應用程序(4)使用Process Monitor監視系統進程。

[ 如果已經確定是某個程序或進程有問題，你有什么工具可以進一步得到它的哪些信息。 ]

(1)使用virscan等網站檢測，查看其行為分析等
(2)使用wireshark在該程序或進程運行時抓包，查看其與本機的通信。
(3)使用PEiD分析該程序，看看其是否加殼。

返回目錄

三、實驗過程記錄

3.1使用Windows計劃任務schtasks記錄并分析。

使用命令schtasks /create /TN 20165114netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\20165114netstatlog.txt"創建一個每隔一分鐘重復一次的名稱為20165114netstat的計劃任務。

TN：Task Name，本例中是netstat
SC: SChedule type,本例中是MINUTE,以分鐘來計時
MO: MOdifier
TR: Task Run，要運行的指令是 netstat -bn,b表示顯示可執行文件名，n表示以數字來顯示IP和端口

先在桌面創建一個txt文件，寫入下列內容后，重命名更改為批處理netstatlog.bat文件。

date /t >> c:\20165114netstatlog.txt time /t >> c:\20165114netstatlog.txt netstat -bn >> c:\20165114netstatlog.txt

將文件netstatlog.bat拖入C盤目錄下，這需要管理員權限，如下圖點擊繼續即可。
打開控制面板->管理工具->任務計劃程序,可以看到剛剛創建的這個任務。
雙擊點開這個任務，為其設置屬性，在常規一欄，勾選使用最高權限運行，否則可能無法運行哦，這時需要在彈窗中輸入管理員密碼。
在操作一欄，點擊編輯，將程序或腳本改為批處理文件 netstatlog.bat，將參數一欄清空。
除此之外，條件一欄中，默認情況下只有在計算機使用交流電源時才啟動此任務，當拔出電源時就會停止任務，如果使用電池電源可不勾選此項。
運行該任務，會發現20165114netstatlog.txt中已經有聯網數據和記錄了，如下圖所示。
等待幾個小時候，可以用excel統計和整理分析一下收集到的數據。
使用excel導入文本數據和建立數據透視圖的過程可以參考學姐的博客，寫的十分詳細,下圖是我導入后的excel表格與創建數據透視圖過程。
最后發現，幾個聯網頻繁的程序是TCP,2345瀏覽器，虛擬機的程序等，圖中也可以看到后門程序、電腦管家、wireshark等的記錄。
下圖為一部分外部連接的ip地址：
可以對可疑的ip地址進行查詢，看看他們的歸屬地等信息。

返回目錄

3.2使用sysmon工具監控自己主機的重點可疑行為。

sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系統服務和設備驅動程序的方法安裝在系統上，并保持常駐性.sysmon用來監視和記錄系統活動，并記錄到windows事件日志，可以提供有關進程創建，網絡鏈接和文件創建時間更改的詳細信息。

我參考了實驗指導和學姐們的博客，以及文章使用輕量級工具SYSMON監視你的系統,創建配置文件了20165114Sysmoncfig.xml，內容如下：

<Sysmon schemaversion="4.20"><HashAlgorithms>*</HashAlgorithms><EventFiltering><ProcessCreate onmatch="exclude"> <Image condition="end with">chrome.exe</Image> </ProcessCreate><FileCreateTime onmatch="exclude" ><Image condition="end with">chrome.exe</Image></FileCreateTime><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp></NetworkConnect><NetworkConnect onmatch="include"> <DestinationPort condition="is">5114</DestinationPort> <DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> </NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage><TargetImage condition="end with">firefox.exe</TargetImage></CreateRemoteThread></EventFiltering> </Sysmon>

==注意：==

版本號需要根據sysmon的版本修改，我的為：Sysmon schemaversion="4.20"。
exclude相當于白名單，不用記錄。include相當于黑名單，需要包括進去。
過濾條件相當于白名單吧，多多益善，讓信任的程序盡量不要記到日志里，日志多了不好分析。
如果你想記錄所有網絡連接就可以簡單寫為*，不寫的不記錄。
網略連接過濾掉了瀏覽器的網絡連接、源IP為127.0.0.1的網絡連接和目的端口為137的連接服務，且查看目的端口為80（http）和443（https）的網絡連接。
- 137端口的主要作用是在局域網中提供計算機的名字或IP地址查詢服務，一般安裝了NetBIOS協議后，該端口會自動處于開放狀態。
- 127.0.0.1表示本機IP。
遠程線程創建記錄了目標為explorer.exe、svchost.exe、winlogon.exe和powershell.exe 的遠程線程。
- explorer.exe是Windows程序管理器或者文件資源管理器
- svchost.exe是一個屬于微軟Windows操作系統的系統程序，是從動態鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。
- winlogon.exe是Windows NT 用戶登陸程序，用于管理用戶登錄和退出。
- powershell.exe是專為系統管理員設計的新 Windows命令行外殼程序。該外殼程序包括交互式提示和腳本環境，兩者既可以獨立使用也可以組合使用。

下載sysmon的安裝包并解壓。
打開命令提示符（管理員），并進入該解壓后的目錄下，使用指令Sysmon.exe -i C:\20165114Sysmoncfig.xml安裝sysmon。
將會彈出如下窗口，點擊agree即可。
如果修改了配置文件，要運行指令：sysmon.exe -c C:\20165114ysmoncfig.txt
右鍵我的電腦，點擊管理，點擊事件查看器->應用程序和服務日志->/Microsoft/Windows/Sysmon/Operational，可以查看到日期時間，事件id，任務類別等信息。
點開事件，可以看到詳細信息。
將實驗二中生成的后門傳送到主機后，kali進行監聽，回連成功后，查找5114,仔細查看事件及其信息。
過程中我多次看到了conhost.exe，它是微軟為其Vista以及Win7、Windows 2008（服務器版）系統定義的系統文件，在系統中被稱為“控制臺窗口主機”。其功能主要是為命令行程序（cmd.exe）提供類似于Csrss.exe進程的圖形子系統等功能支持，而之前在Windows XP系統中Conhost.exe的這一功能是由Csrss.exe進程“兼職”提供的，但這被認為存在不安全因素，于是微軟為了提高系統安全性在06年之后發布的Vista和Win7等系統中新加入Conhost.exe進程。毫無疑問，這個進程應該是安全的，它由微軟簽署。
谷歌的程序：
同樣出現多次的dllhost.exe，是微軟Windows操作系統的一部分。dllhost.exe用于管理DLL應用，在任務管理器中可以找到，這個程序對是微軟Windows系統的正常運行是非常重要的。
騰訊電腦管家的相關運行程序。
看到我的后門程序出現了，對可疑的進程可以仔細看看詳細信息，再查一查它干了些啥，就可能可以發現惡意軟件的蹤影。

返回目錄

3.3使用VirusTotal分析惡意代碼。

VirSCAN.org 是一個非盈利性的免費為廣大網友服務的網站，它通過多種不同廠家提供的最新版本的病毒檢測引擎對您上傳的可疑文件進行在線掃描，并可以立刻將檢測結果顯示出來，從而提供給您可疑程度的建議。

將后門文件放入該網站檢測，進行分析。

查看該后門的基本屬性，包括它的MD5值、SHA-1值、文件類型等信息。
便攜式可執行信息，包括比較重要的部分或段落的信息、從外部動態鏈接庫導入的功能等。
ExifTool文件元數據
文件系統操作，包括文件打開和閱讀的文件。
進行了創建流程、同步機制、加載模塊等等操作。

使用PEiD檢測可疑對象是否加殼。

PEiD(PE Identifier)是一款著名的查殼工具，其功能強大，幾乎可以偵測出所有的殼，其數量已超過470 種PE 文檔的加殼類型和簽名。

將PEiD安裝好之后是如圖界面，比較小巧。
先用一個沒有加過殼的后門試試，什么都沒找到。
測試一個upx加殼后的程序，果然查出來了，還可以查看擴展信息。
擴展信息的信息感覺也不是很豐富啊...
點擊多文件掃描，掃描一下含有多個后門程序的目錄，我們可以發現，加過加密殼hyperion的后門并不能被查出來，看來這個軟件并沒有hyperion的記錄信息。
這個軟件還能查看進程。
點擊選項，可以更改掃描模式等。

掃描模式
●正常掃描模式：可在PE文檔的入口點掃描所有記錄的簽名；
●深度掃描模式：可深入掃描所有記錄的簽名，這種模式要比上一種的掃描范圍更廣、更深入；
●核心掃描模式：可完整地掃描整個PE文檔，建議將此模式作為最后的選擇。
PEiD內置有差錯控制的技術，所以一般能確保掃描結果的準確性。前兩種掃描模式幾乎在瞬間就可得到結果，最后一種有點慢，原因顯而易見。

返回目錄

3.5 使用SysTracer分析惡意軟件.

SysTracer 這是一款可以分析你的計算機文件,文件夾和注冊表項目改變的系統實用工具.你可以在任何想要的時間獲取無數個屏幕快照.你可以比較任何一對想要的屏幕快照,并且觀察其間的不同之處.獲取屏幕快照通常會持續幾分鐘的時間,這取決于文件和文件夾的數量和注冊表項目的總數.

我在自己的主機上拍攝快照，由于文件太多，耗時特別長,所以只拍攝了兩個快照，最好還是選擇在虛擬機中進行，耗時較短。
(1)在連接后門前拍攝快照1.
(2)監聽、反彈回連后拍攝快照2.
安裝軟件systracer,點擊iagree。
我選擇了中間這一項，其實選擇別的項也行。
端口我設為5114.
會彈出一個安全警報，點擊允許訪問即可。
安裝完成就是這個界面啦,點擊右邊就是拍攝快照。
拍攝快照，我選了全部的項目文件等，這樣會導致拍攝時間較長。
點擊Applications->running processes,我選擇了only difference只看差異,可以看到后門程序的進程。
打開的端口：
打開的句柄：
但是還有好多東西都沒看到，一直提示說未注冊，這個問題我也暫時沒能解決掉。

3.5使用Process Monitor 監視進程

Process Monitor一款系統進程監視軟件，總體來說，Process Monitor相當于Filemon+Regmon，其中的Filemon專門用來監視系統中的任何文件操作過程，而Regmon用來監視注冊表的讀寫操作過程。有了Process Monitor，使用者就可以對系統中的任何文件和注冊表操作同時進行監視和記錄，通過注冊表和文件讀寫的變化，對于幫助診斷系統故障或是發現惡意軟件、病毒或木馬來說，非常有用。

打開軟件，可以看到該軟件對各個進程的詳細記錄與時間等等。

3.6使用Process Explorer 監視進程

由Sysinternals開發的Windows系統和應用程序監視工具，目前已并入微軟旗下。不僅結合了Filemon（文件監視器）和Regmon（注冊表監視器）兩個工具的功能，還增加了多項重要的增強功能。包括穩定性和性能改進、強大的過濾選項、修正的進程樹對話框（增加了進程存活時間圖表）、可根據點擊位置變換的右擊菜單過濾條目、集成帶源代碼存儲的堆棧跟蹤對話框、更快的堆棧跟蹤、可在 64位 Windows上加載32位日志文件的能力、監視映像（DLL和內核模式驅動程序）加載、系統引導時記錄所有操作等。

獨特之處
1.顯示被執行的映像文件的完整路徑
2.顯示進程安全令牌
3.加亮顯示進程和線程列表中的變化
4.顯示作業中的進程，以及作業的細節
5.顯示運行。NET/WinFX應用的進程，以及與.NET相關的細節
6.顯示進程和線程的啟動時間
7.顯示內存映射文件的完整列表
8.能夠掛起一個進程
9.能夠殺死一個線程

后門程序運行時，可以看到這個進程的執行的記錄：
還可以手動殺死這個進程，殺死這個進程后，kali攻擊機也會失去對主機的控制。

返回目錄

四、實驗總結與體會

根據惡意代碼的原理而產生的分析工具多種多樣，殺軟只是其中的易于被大家接受的一種而已，殺軟的用戶體驗比較好，只需一鍵就可以檢測，但是通過實驗我們也知道了，殺軟不是萬能的，它檢測不出來很多惡意代碼。而仔細監控系統，總會發現惡意代碼的影蹤，但是感覺就是需要比較專業的知識和仔細耐心的學習分析。在大量而冗雜的數據中，找到惡意代碼的痕跡，確實比較麻煩。但是這種綜合分析能力也正是我們需要學習和成長的方向吧。
這次實驗我接觸到了很多不同的軟件，大多軟件通過日志、進程、注冊表等來監控。每個軟件都有自身的特點吧，我在實驗過程中突然接觸這些陌生軟件，又需要進行大量數據分析，通過查找大量資料進行綜合分析才能順利完成。我的虛擬機和主機由于橋接模式無法Ping通，也更改了很多網絡設置、查找大量資料最終才解決，所以在實驗中不要一葉障目，更不要機械地去使用各種軟件，去思考和分析才是解決問題的比較好的途徑。

五、實驗錯誤與問題及其解決

(1)在使用sysmon工具是遇到版本不匹配的問題。只需要將版本修改即可。

(2)實驗過程中遇到了拍攝快照耗時太長，最后顯示未注冊的問題。最好用虛擬機作為靶機，拍攝快照比較合適，這樣比較快。未注冊的問題最后我也沒能解決，只能重新卸載后安裝。

(3)主機不可達，導致了主機與虛擬機無法互相Ping通，最后導致了無法與后門連接。更改網絡設置或者關掉防火墻也都不太行。

轉載于:https://www.cnblogs.com/erinwhere/p/10662415.html

總結

以上是生活随笔為你收集整理的2018-2019-2 20165114《网络对抗技术》Exp4 恶意代码分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：高级UI-高级渲染
下一篇： BZOJ 4720: [Noip2016