20155330 《网络攻防》 Exp4 恶意代码分析

时间 2019-11-14

原文原文链接

20155330 《网络攻防》 Exp4 恶意代码分析

实验后回答问题

（1）若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

使用Windows自带的schtasks指令设置一个计划任务，指定每隔必定时间记录主机的联网记录或端口开放、注册表信息等；
经过sysmon工具，配置须要记录事件的文件，以后在事件查看器里找到相关日志文件查看；
使用Process Explorer工具，监视进程执行状况，查看是否有程序调用了异常的dll库之类的。html

（2）若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息
使用systracer工具分析某个程序执行先后，计算机注册表、文件、端口的一些变化状况。算法

实验过程

使用schtasks指令监控系统
在C盘目录下创建一个netstatlog.bat文件，用来将记录的联网结果格式化输出到netstatlog.txt文件中，netstatlog.bat内容为：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

此时C盘中的文件：
打开Windows下命令提示符，输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"建立一个每隔两分钟记录计算机联网状况的任务
右键点击“计算机”|“管理”，在计算机管理中点击“任务程序计划”|“任务程序计划库”，双击netstat任务计划项目，点击“操做”页签，“编辑”|修改“程序或脚本”为C:\netstatlog.bat
在“操做”中，将“只有在计算机使用交流电源时才启动此任务”选项取消
过了一会查看netstatlog.txt文件……
再次双击netstat任务计划项目，在“常规”页签中勾选“使用最高权限运行”
隔了大约一天以后，再次查看记录的主机联网日志。
根据张竞予同窗的博客，制做了相关表格和饼状图。因为使用的是虚拟机进行实践，因此联网的应用程序种类较少。

chrome

使用sysmon工具监控系统
首先建立配置文件Sysmon20155303.xml，内容以下：

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

使用命令Sysmon.exe -i C:\Sysmon20155330.xml安装Sysmon
在“事件查看器”中查看程序相关信息。
Sysmon.exe -c C:\Sysmon20155330.xml更改配置文件，监听443和80端口，无异常发生。

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">SogouExplorer.exe</Image>
</NetworkConnect>

<NetworkConnect onmatch="include">     
  <DestinationPort condition="is">80</DestinationPort>      
  <DestinationPort condition="is">443</DestinationPort>    
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

使用VirusTotal分析恶意软件

把后门软件上传到VirusTotal进行扫描，只有16个软件没有检测出病毒……
查看这个恶意代码的基本属性
算法库支持状况

shell

使用Process Monitor分析恶意软件
Process Monitor是一个高级的 Windows 系统和应用程序监视工具，使用者能够对系统中的任何文件和注册表操做同时进行监视和记录，经过注册表和文件读写的变化，诊断系统故障或是发现恶意软件、病毒或木马。
如下为软件记录状况（部分）。
windows

使用Process Explorer分析恶意软件
Process Explorer让使用者能了解看不到的在后台执行的处理程序，能显示目前已经载入哪些模块，分别是正在被哪些程序使用着，还可显示这些程序所调用的 DLL进程，以及他们所打开的句柄。
后门软件运行状况记录：
网络

使用PEiD分析恶意软件
PEiD(PE Identifier)是一款著名的查壳工具。
未加壳扫描结果：
加壳后：
工具

使用systracer分析恶意软件

在kali对windows主机进行回连先后使用软件进行快照，而后对比。
首先是注册表发生了变化：
端口状况

实验体会

经过此次的学习和实践，主要对恶意代码的分析方式有了必定的了解。恶意代码分析主要分为静态分析和动态分析两种方式。经过和上一次的实践相结合，对恶意代码的隐蔽性有了更加深入的了解。学习

20155330 《网络攻防》 Exp4 恶意代码分析

20155330 《网络攻防》 Exp4 恶意代码分析

实验后回答问题

（1）若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

（2）若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息

实验过程

使用schtasks指令监控系统

使用sysmon工具监控系统

使用VirusTotal分析恶意软件

使用Process Monitor分析恶意软件

使用Process Explorer分析恶意软件

使用PEiD分析恶意软件

使用systracer分析恶意软件

实验体会