2018-2019-2 20165219《网络对抗技术》Exp4 恶意代码分析

基础问题回答

实验目的

监控系统的运行状态，看有没有可疑的程序在运行

分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件

假定未来工做中你以为本身的主机有问题，就能够用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质

基础问答

若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

答：扫描日志

利用wireshark查看数据包,分析数据流

使用Process Explorer工具，监视进程执行状况

若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

答：利用wireshark查看数据包，查找能够数据链接

运行CMD --> 输入wmic --> process能够查看到进程的程序。

实验步骤

系统运行监控

C盘下新建netstatlog.bat 和 netstatlog.txt

在 netstatlog.bat 中输入

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

cmd中输入schtasks /create /TN 20165219netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"用来建立一个任务

打开任务计划程序

双击这个任务，点击操做并编辑，将“程序或脚本”改成咱们建立的netstat.bat批处理文件，而且将添加参数设置为空。

使用最高权限运行

执行此脚本必定时间，就能够在netstat5318.txt文件中查看到本机在该时间段内的联网记录

系统运行监控——利用Sysmon

肯定要监控的目标

写配置文件

<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
  <!-- Log all drivers except if the signature -->
  <!-- contains Microsoft or Windows -->
  <DriverLoad onmatch="exclude">
    <Signature condition="contains">microsoft</Signature>
    <Signature condition="contains">windows</Signature>
  </DriverLoad>

  <NetworkConnect onmatch="exclude">
    <Image condition="end with">chrome.exe</Image>
    <Image condition="end with">iexplorer.exe</Image>
    <SourcePort condition="is">137</SourcePort>
    <SourceIp condition="is">127.0.0.1</SourceIp>
  </NetworkConnect>

   <NetworkConnect onmatch="include"> 
    <DestinationPort condition="is">5219</DestinationPort>     
    <DestinationPort condition="is">80</DestinationPort>      
    <DestinationPort condition="is">443</DestinationPort>    
  </NetworkConnect>

  <CreateRemoteThread onmatch="include">
    <TargetImage condition="end with">explorer.exe</TargetImage>
    <TargetImage condition="end with">svchost.exe</TargetImage>
    <TargetImage condition="end with">winlogon.exe</TargetImage>
    <SourceImage condition="end with">powershell.exe</SourceImage>
  </CreateRemoteThread>
</EventFiltering>
</Sysmon>

exclude至关于白名单，不用记录。include至关于黑名单

网络链接过滤掉了浏览器的网络链接、源IP为127.0.0.1的网络链接和目的端口为137的链接服务，且查看目的端口为80（http）和443（https）的网络链接。（137端口的主要做用是在局域网中提供计算机的名字或IP地址查询服务，通常安装了NetBIOS协议后，该端口会自动处于开放状态。127.0.0.1表示本机IP。）

远程线程建立记录了目标为explorer.exe、svchost.exe、winlogon.exe和powershell.exe 的远程线程。

explorer.exe是Windows程序管理器或者文件资源管理器

svchost.exe是一个属于微软Windows操做系统的系统程序，是从动态连接库 (DLL) 中运行的服务的通用主机进程名称。

winlogon.exe是Windows NT 用户登录程序，用于管理用户登陆和退出。

powershell.exe是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境，二者既能够独立使用也能够组合使用。

将此配置文件放在c盘中

启动sysmon

cmd进入sysmon的安装目录sysmon.exe -i c:\sysmon5219.txt出现以下界面，点击agree

输入sysmon.exe -c c:\sysmon5219.txt来运行此程序。

打开事件查看器，在应用程序和服务日志-Microsoft-Windows-Sysmon-Operational能够看到按照配置文件的要求记录的新事件，以及事件ID、任务类别、详细信息

检测到进程的图

反弹链接

恶意软件分析

使用VirusTotal分析恶意软件

将exp3中生成的加壳后门在VirusTotal进行扫描

Systracer

下载完成->运行->agree->选第二个->设置监听端口号5219->安装完成

两次快照

回连

进行比对，点击compare

反弹链接一些增长的文件

Wireshark进行抓包分析

抓包前的设置

ncat链接时的流量包

遇到的问题

安装sysmon时报错

解决：将命令修改成.\Sysmon.exe -i C:\20165219Sysmoncfig.txt

实验总结与体会

这次试验有不少细节要注意，经过这个实验，从新认识了wireshark这个抓包软件，经过查看数据包，分析数据流达到监控的目的