恶意代码分析

上次实验作的是后门原理与实践，里面已经大概讲了杀软的原理。同时也发现杀软不少时候不能识别病毒库中没有的病毒，这时候就须要本身对恶意程序进行分析了。基本的思路就是经过添加对系统的监控，查看监控的日志来分析哪些程序有多是恶意程序，而后再对这些程序进行分析。

一般恶意代码会创建没必要要的网络链接，或者是对系统关键目录进行修改。经过这些特征咱们能够初步肯定哪些程序有恶意代码的嫌疑，再将其提交到virustotal等网站上进行进一步的分析。

下面就利用几个简单的方法来实现对系统的监控。

经过批处理添加计划任务实施监控

cmd有不少指令能够直接获取电脑的网络状态，并且较为详细，咱们能够经过netstat -bn来获取计算机的具体网络链接状况，包括了协议、本地地址、外部地址、状态和对应的进程，足够咱们监控需求。能够将这句命令写入批处理文件而后设置其为任务计划自动运行来实现对网络端口的监测。

date /t>> netlog.txt　　#写入日期
time /t >> netlog.txt　　#写入时间
netstat -bn >> netlog.txt　　#写入网络链接状况

将上面几行代码在记事本中保存下来，而后把后缀.txt改成.bat就能够运行了，以后能够在控制面板的计划任务里面添加新的计划任务，触发器设置为5分钟一次，操做改成运行咱们的.bat文件就能够了。

下面是记录下的部分数据：

利用sysmon工具监控

首先去sysinternal官网下载一个Sysmon安装，安装须要一个配置文件，说明监控的内容及其余参数，这个文件我直接用了老师给的配置文件，里面的配置信息有如下内容：

1.对除了具备windows和microsoft的签名认证的程序之外的全部程序的驱动操做实施监控

2.对出了浏览器和127.0.0.1:137为原地址以外的全部网络链接进行监控

3.对explorer.exe、svchost.exe、winlogon.exe、powershell.exe等敏感程序实施线程建立监控，目的是监控后门的迁移

在"运行"窗口输入eventvwr命令（我是直接输的，这个命令在哪一个目录输均可以的），打开应用程序和服务日志，根据Microsoft->Windows->Sysmon->Operational路径找到记录文件。

双击列出的事件就能够查看详细信息，如上图中能够看出个人搜狗输入法请求了网络链接。

而后我打开用kali虚拟机连上本身电脑后再进行一次migrate 到explorer下，完成操做后刷新sysmon日志能够找到下面两个监控，一个网络链接，一个线程建立。

恶意软件分析

1.特征库对比

将上面sysmon监控到的可疑文件上传到virustotal上扫描看看是否有安全威胁。

 

 一扫就看出问题了，16个杀软都能杀出来，因此这多半是一个木马程序。

2.systracer

利用systracer先给电脑照个快照，我选了部分文件添加快照。而后打开虚拟机用msfconsole连上主机，操控远程主机打开以前快照范围内的一张图片，而后再作一次快照，以后对两个快照进行比较，会发现有不少改变，在里面能够找到刚刚的操做形成的改变。从下图能够看出backdoor.png被打开以后HKEY_CLASSES_ROOT下的一个注册表就发生了改变。

 实验体会

此次实验要求比较简单，其实我以为对恶意代码的分析是比较复杂的，可是此次实验只是要求作了一个基本系统监控，像是基于行为的方法来对恶意程序进行一轮最初的筛选。其实恶意代码分析我以为能够作的很深，静态分析，动态分析都很复杂，须要很好的汇编基础才行，加上本身对入侵比较有兴趣，没再作更深刻的研究。