20145316许心远《网络对抗》第四次实验：恶意代码分析

20145316许心远《网络对抗》第四次实验：恶意代码分析

实验后回答问题

请设计下你想监控的操做有哪些，用什么方法来监控

• 想要监控的操做
  • 监控连接了哪些ip和端口
  • 监控注册表信息
  • 监控文件的增删
  • 权限变更
• 想要用什么方法进行监控
  -静态方法
  • virscan扫描
  • ip explorer分析属性
  • dependency walker分析
  • peid分析
    -动态方法
  • wireshark抓包分析
  • sysmon监视记录系统活动，并记录系统日志
  • systracker查看注册表和文件信息
  • 建立任务监控

若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息

• TCPview工具能够查看系统的TCP链接信息
• wireshark进行抓包分析，查看系统到底进行了哪些网络链接
• systracer查看注册表信息的改动是否合理

• sysmon/netstat监视和记录系统活动，并记录到windows事件日志

  实验体会

• 终于理解了老师上课时说的“前三次实验你们都作得挺舒服的”这句话了，此次实验刚开始真是“透心凉，心飞扬”，一直到如今其实作得都并不满意，不少东西没有作全分析全，这才感受到网络对抗这门课不是简单的种后门种病毒玩游戏，仍是有不少硬知识须要去消化理解。好比说再systracer的snapshot环节，明明都照出来了，可就是不懂这些删减的表项到底什么意思，哪一个进程开动了改往哪儿找，这充分显示出理论学习的不扎实。

• 以前三次实验都是老师给出实验大致步骤，一步一步照着作下去，像按照说明书搭房子，锻炼的是动手能力，但此次实验几乎没有实验指导，怎么作都要本身去想，从地基到房梁结构都要本身设计，侧重于锻炼思惟能力，收获了一种全新的学习体验。

  实验过程

• 恶意代码是指没有做用却会带来危险的代码，一个最安全的定义是把全部没必要要的代码都看做是恶意的，没必要要代码比恶意代码具备更宽泛的含义，包括全部可能与某个组织安全策略相冲突的软件。
• 恶意代码的分析方式有两种：静态分析技术和动态分析技术。在这篇博客里咱们静态分析选用的工具是：virscan、PE explorer、PEiD、dependency walker；动态分析选用的工具是：systracer、wireshark、netstat、sysmon。
• 本次实验采用的代码是第二次后门实验的代码，中途改过多个名20145316_backdoor、fool531六、exp4等都是，你们意会。
• win10的ip：192.168.2.175（桥接模式）

• 虚拟机的ip：192.168.2.202（桥接模式）

virscan扫描

• 用上次实验的方法将虚拟机生成的后门传送到主机
  
  上传至virscan的在线网页，进行扫描（由于一点问题，我改了文件名）扫描结果以下：
  
• 等待一会，点击“文件行为分析”，生成行为分析报告
  
• 另外还有一些不须要工具的简单方法，好比说直接右键属性，没有证书、文件信息缺失的文件多有问题
  

PE explorer

• 文件头信息菜单下能够看一些简单的时间戳等基本属性信息
  
  
• 导入表菜单下能够看这个程序都调用了哪些dll文件。下图中的ADVAPI32.dll文件是一个高级API应用程序接口服务库的一部分，调用这个dll能够实现对注册表的操控,而WSOCK32.dll和WS2_32.dll这两个DLL用于建立套接字，即会发生网络链接。这3个dll同时出现，难道不奇怪吗？

• PEiD

• 直接导入文件，查看程序是否加壳
• but这个却告诉咱们“nothing found”，好像是一个乖巧软萌的程序啊
  

• 尝试过其余同窗的作法，进一步展开，但等待个人仍然是“not packed”，不造为啥，可能版本过低或者64位系统的缘故吧。
  

  dependency walker

• dependency walker这个软件也是针对dll进行分析的，并且显然比PE Explorer更强大
  

• 哈哈，在这里咱们能够找到一个这个恶意软件删除注册表键值的函数调用
  

  systracer（个人2.6版本有点低，建议下2.10）

• 从这里开始咱们的动态分析吧~创建4个快照snapshot
  • snapshot#1：什么都不作的状况
  • snapshot#2：kali生成后门并文件经过ncat传到主机上
  • snapshot#3：kali打开msf监听并回连成功
  • snapshot#4：kali在msf监听端对主机进行截屏
    
• 快照结果对比分析
  • 1&2————新增了咱们传输的文件exp4（显示有些乱码）
    
  • 1&2————ncat.exe被调用
    
  • 1&2————注册表发生变化
    
    
  • 2&3————新增注册表项vitualdesktop，得到主机shell
    
  • 2&3————注册表发生变化
    

  • 3&4————注册表发生变化
    

    wireshark抓包

• 我抓取了kali向主机传送后门程序、回连、抓屏过程的数据包，设置正确的过滤条件，能够很轻易的获取相关信息，这些数据包里面含有三次握手过程，好比下图前三行。
  

• “TCP segment of a reassemble PDU”是大段报文分解成段发送，像这部分应该就是传送后门文件时的数据。
  

  netstat

• 建立任务，设置任务计划里的触发器，每5分钟反馈
  
• 在C盘下建立文件夹：5316，在文件夹下建立netstat5316.txt,写一个脚本，内容以下:
  
• 保存后将后缀改成.bat
• 设置任务计划的“操做”选项栏，将启动程序设为咱们的netstat5316.bat，参数为>>c:\5316\netstat5316.txt，这样咱们的网络记录信息netstat5316.txt就会保存在C盘5316文件夹下
  
• 建立完成，运行任务，5316文件夹下出现咱们的txt文件
  

• txt截的图没啥分析价值，传一张以前在命令行执行netstat的图吧。能够看到kali回连成功那里的extablished。
  
  

  sysmon

• 安装sysmon成功，xml文件内容复制老师的
  

• 查看系统进程