Exp4 恶意代码分析

 

1、实践目标

1.监控本身系统的运行状态，看有没有可疑的程序在运行。

2.是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件。

3假定未来工做中你以为本身的主机有问题，就能够用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

2、实践步骤

1.系统运行监控

使用 netstat 定时监控

首先建立一个txt文件，用来将记录的联网结果按格式输出到netstatlog.txt文件中，内容为：

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

而后改为.bat

 以管理员身份运行cmd,

输入schtasks /create /TN netstatlog20151120 /sc MINUTE /MO 2 /TR "c:\netstatlog.bat（上面建立的文件） 建立间隔2分钟的计划任务。

可是并无运行，不知道什么状况

双击而后出现属性框 操做，修改启动程序为.bat

最高权限运行

结果仍是无法运行，我以为本身的电脑老是与别人不一样的设置，几经摸索。。

把条件中的勾全去掉

Ok了

过来两天，采用学姐的方法，将数据导入wps中，

出现异常的smartscren.exe，的确，在此期间我作事后门实验，调用了摄像头偷拍

1.2使用sysmon工具监控系统运行

Sysmon是微软Sysinternals套件中的一个工具，能够监控几乎全部的重要操做

先建立配置文件 20151120.txt，内容是复制老师的内容

打开事件管理器，全部的事项都被记录，

我进行后门实验，用kali对win10进行控制。

结果首先出现了svhost.exe，咦，这是什么呢，百度一下

svchost.exe是一个属于微软Windows操做系统的系统程序，微软官方对它的解释是：Svchost.exe 是从动态连接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是很是重要，并且是不能被结束的。许多服务经过注入到该程序中启动，因此会有多个进程。

由于svchost进程启动各类服务，因此病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的

好吧，这么说的话，这个进程额 ，很重要

进行偷拍，与调用win10下的shell

嗯，被逮住了，

可是除此外我还发现一些有趣的事情，

这个主机名为月亮的是什么鬼，为何出如今个人计算机日志上

注意到sourceportname为llmnr，百度一下

额，难道是它在进行攻击，，，，，，，，，正在研究中。。

1.3利用virtool分析木马

持续研究中

实验总结与体会

在实验中，感受坑愈来愈深，感受本身基础好薄弱，对于一些概念与理论好比进程，行为分析等还有进一步学习，不过我以为这课蛮有意思的，原来网络世界是颇有趣的