Exp4 恶意代码分析

1、实践目标

1.1是监控你本身系统的运行状态，看有没有可疑的程序在运行。

1.2是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件。

1.3假定未来工做中你以为本身的主机有问题，就能够用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对 可疑对象进行进一步分析，好确认其具体的行为与性质。

2、实践内容

2.1系统运行监控
安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控本身主机的重点事可疑行为。

2.2恶意软件分析
(1)启动回连，
(2)安装到目标机
（3）读取、添加、删除了哪些注册表项

（4）读取、添加、删除了哪些文件

（5）链接了哪些外部IP，传输了什么数据（抓包分析）

3、基础问题回答

1.若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控？

方法有不少，例如：

1. 使用tcpview工具检测有哪些程序在进行网络链接，查找并锁定未知的联网可疑程序
2. 使用PE解析软件查看可疑进程的详细信息，查看其是否加壳
3. 使用Dependency Walker分析调用的DLL及其函数用途
4. 使用快照分析进程对系统作了哪些改变，新增文件是不是咱们预知的
5. 使用wireshark抓包分析进程网络链接传输的数据究竟是什么

2.若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

++首先可使用使用systracer工具，动态分析注册表修改状况，分析缘由，这样作的目的，查看文件修改状况和端口状况并分析缘由。再者可使用Wireshark进行抓包分析，查看该程序传输了哪些数据++

4、实践过程

1. Windows计划任务schtasks

1.1首先在c盘建立一个txt文件，输入如下内容后另存为bat文件

date /t >> c:\20154330.txt
time /t >>c:\\20154330.txt
netstat -bn >> c:\\20154330.txt

-即保存日期，时间和活动链接

为实现每1min记录下有哪些程序在链接网络，输入如下命令：

schtasks /create /TN 20154330netstat /sc MINUTE /MO 1 /TR "c:\netstatlog.bat

1.2在Windows系统下，打开控制面板，搜索任务计划，找到刚刚建立的计划，且以最高权限运行（由于个人bat在c盘，须要管理员权限）。

因为我遇到一些问题致使不可以记录日志下面是该问题的解决方式：
问题：本身电脑种种缘由建立了几个用户和两个用户组，致使任务计划中更改设置时不成功。。。。

解决方法：
如图：



选定你所操做的用户组便可。

1.3日志分析

能够看到个人虚拟机后门的运行

用excel进行数据分析

以协议名称进行统计

以IP地址进行统计

1. Sysmon
   在这里下载微软Sysinternals套件
   https://docs.microsoft.com/zh-cn/sysinternals/downloads/

咱们这里只使用sysmon工具

参考配置以下：（本身下载新版本的要在第一行更改版本号，沿用老师或者上届学姐学长的看状况更改便可）

建立配置文件4330.txt

<Sysmon schemaversion="7.01">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

配置好文件使用如下指令对sysmon进行安装

sysmon -accepteula –i -n

sysmon.exe -c 4330.xml

注：这里要进入该文件的目录。。。

安装好以后咱们能够看一下运行程序 的确在运行哦

打开事件查看器（此电脑右单击管理->计算机管理->系统工具->任务计划程序->Microsoft->windows->sysmon->operational）

如今开始执行上次实验的后门程序

找一找一些事件的详细信息会看的你感兴趣的哦 我找到了个人后门程序

这是那个终端

怎么感受我执行的一些东西都被他记录了呢

还有一个443的端口

1. virustotal静态分析

virscan不能分析软件了 因此我用了virustotal

英语四级限制了个人阅读。。。。。。

1. systracer

百度一个systracer下载安装（很简单）
而后打开拍四个快照，分别是
1.将恶意软件植入到目标主机中后；
2.恶意软件启动回连时；
3.恶意软件执行ls命令进行查看时；
4.恶意软件进行拍照操做时。

1和2作对比以后

后门软件

1. 联网状况分析
   在后门程序回连时，在主机的命令行中用netstat -n命令查看TCP链接的状况，能够发现其中有进行回连的后门程序：

1. Process Monitor

打开Process Monitor能够看到程序变化，查找4.3.3.07.exe
能够看到它的描述：

1. PEiD

PEiD是一个经常使用的的查壳工具，能够分析后门程序是否加了壳。
加壳

不加壳

1. Process Explorer
   打开ProcessExplorer，运行后门程序4.3.3.07.exe，在Process栏能够找到4.3.3.07.exe

双击后门程序4301.exe一行，点击不一样的页标签能够查看不一样的信息：
TCP/IP页签有程序的链接方式、回连IP、端口等信息。

Performance页签有程序的CPU、I/O、Handles等相关信息。

5、实验感悟

本次实践主要是恶意代码分析，恶意代码分析不只经过动态分析，也能够静态分析。静态分析经过一些PE工具箱（PEview，dependency walker，Resource Hacker，PE explorer等）分析其函数连接库、壳的状况、特征库比对等操做。动态分析，在恶意代码运行时能够实时监测，数据抓包，例如SysTracer、SysinternalsSuite、ProceMonitor等一些工具，能够搜集一段时间内系统注册表、文件等的变化。经过此次的实践，学习到对恶意代码的基本分析的方法，静态和动态的分析方法综合应用，基本上就能够确认一个代码的行为了，根据以上方法，咱们不用过渡依赖于杀毒软件给咱们的杀毒报告，能够对有所怀疑的软件进行自主分析。[]