Exp4恶意软件分析 20154326杨茜

，1.实践目标

 1.1是监控你本身系统的运行状态，看有没有可疑的程序在运行。

 1.2是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件。

 1.3假定未来工做中你以为本身的主机有问题，就能够用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

 

2.实践内容（3.5分）

 2.1系统运行监控（2分）

（1）使用如计划任务，每隔一分钟记录本身的电脑有哪些程序在联网，链接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出全部连网的程序，连了哪里，大约干了什么(不抓包的状况下只能猜)，你以为它这么干合适不。若是想进一步分析的，能够有针对性的抓包。

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控本身主机的重点事可疑行为。

参考：schtask与sysmon应用指导

实际日志的分析还须要发挥下本身的创造力，结合之前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理，这就得你们会什么用什么了。

 2.2恶意软件分析（1.5分）

分析该软件在(1)启动回连，(2)安装到目标机(3)及其余任意操做时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

（3）读取、添加、删除了哪些注册表项

（4）读取、添加、删除了哪些文件

（5）链接了哪些外部IP，传输了什么数据（抓包分析）

 该实验重点在“分析”，不是“如何使用某软件”。组长、课题负责人要求写细一点，其余人能够重点放在分析上。

 

3.报告内容

  3.1实验后回答问题

（1）若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

• 使用Windows自带的schtasks指令设置一个计划任务，指定每隔必定时间记录主机的联网记录或者是端口开放、注册表信息等等；
• 经过sysmon工具，配置好想记录事件的文件，以后在事件查看器里找到相关日志文件即可以查看；
• 使用Process Explorer工具，监视进程执行状况，查看是否有程序调用了异常的dll库之类的。

（2）若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

• 使用Wireshark进行抓包分析，查看该程序联网时进行了哪些操做；
• 使用systracer工具分析某个程序执行先后，计算机注册表、文件、端口的一些变化状况。

 3.2实验总结与体会

实验其实贼简单，就是分析的地方出问题了。。。看不懂== 努力分析了一波，也不知道对不对。可是总算仍是有点收获，知道怎么查看本身电脑里有不明程序了。

 

 3.3实践过程记录

（1）任务计划

首先打开管理员：命令提示符，输入下面的指令，建立一个netstatlog.txt在c盘根目录

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

而后在桌面建立一个4326的文本文件，再把上面的代码写进去，把它拖到c盘根目录，接着重命名方式把后缀txt改为bat。

第二步：我们打开管理员：命令提示符，不开管理员命令提示符就会拒绝操做哟~~而后输入下面的指令建立一个名叫4326的任务，设置成2分钟回连主机一次，而后将主机运行状况反馈写进最开始的那个txt文件里面：

 

打开C盘能够看到该文件：

而后把它丢这里不理它，玩会手机啥的再回来。。。。

如今打开C盘中的netstatlog文件能够看到记录下来的东西：大概就是咱们如今正在运行的程序的有关信息。

时间段的截图：

打开excel——>数据——>删除重复项；如今数据整理了以后有192条消息，好好观察一下，没看到有啥可疑的。。。

从组长电脑里拷过来的Sysmon压缩包，而后打开管理员：命令提示符开始运行下面的代码

sysmon -accepteula –i -n

（注意要把它先cd到解压后文件夹所在地址才能用上面的代码）

而后输入sysmon -c xxx.xml命令能够对sysmon进行配置指定配置文件（安装时请用-i）

接下来进入时间查看器，能够看到Sysmon在运行了

在计算机管理工具-事件查看器下能够查看日志信息，日志位置在 应用程序和服务日志/Microsoft/Windows/Sysmon/Operational下

我们能够在下面查看事件：

（网易云）

（UC浏览器）

 在这里我经过parentimage推测，后门程序是运用了explorer程序来实现的。

（回连后门程序后找到的，原本是想找ip地址和端口号的事件，可是==我找不到啊。。。。因而截图证实，我是回连上了的，只是找不到而已。）

 网上下载一个systracer，下载的时候里面有好多捆绑软件。。。。用完了我去杀杀毒。。。

第一张快照是后门程序回连时候的，第二张是回连成功后在kali里面输入指令ls，第三张是关闭链接后的

先将一、3进行对比

 

 

== 我感受就是修改了注册表。。。其实我真看不懂。。。可是能够看获得个人后门程序的ip和端口号，肯定它是开始运行了的。

 

 从这里面咱们就能看到，（红色是删除的，绿色是增长的），1——>3就是回连上了到关闭后门的过程，因此后门程序在主机运行程序中被删除了。并且刚开始回连上了电脑管家被关了，而后关掉后门后电脑管家又被打开了？？

这个是1——>2的：

（仍是修改了一堆看不懂的注册表）

2——>3的过程是：回连后门——>控制端输入指令进行控制；

第一个小红框是我以前推测的运用explorere.exe来实现后门控制的，在这里它是绿色，因此我认为个人推测成立。

第二个小红框。。。我不知道这是个啥，是被删除了的程序。。（求解答==）

接着2——>3

我不是太明白为何2——>3的过程要添加explorer程序，按个人想法应该是只有一个删除explorer的。这个过程咱们仍是能够看到后门程序的存在（求解答！）

这三个过程当中都出现了开关安全管家的过程，我不是太明白为何，猜想是由于我这个后门程序是上节课作的免杀后门形成的（求解答！！）

下面使用命令提示符来监测tcp链接，能够看到

(端口号原本应该是4326的，可是上次实验要求端口号为学号＋400)

由于个人win系统下载wireshark缺失一个文件打不开，因此就直接在linux里面使用系统自带wireshark抓包，结果以下：

实验过程当中在分析数据的地方有三个问题还未解决，请老师给予解答=3=