20155204 王昊《网络对抗技术》EXP4

20155204 王昊《网络对抗技术》EXP4

1、实验后回答问题

（1）若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

• 用schtasks指令监控系统的联网记录。
• 用sysmon查看进程信息。
• 用wireshark抓取网络链接包，能够看到与谁进行了通讯。

（2）若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

• 使用Process Explorer分析恶意软件的基本信息以及依赖的dll库。
• 使用virscan、virustotal分析恶意软件的危险程度以及行为。

2、实验总结与体会

此次实验是告诉咱们如何分析恶意代码，让咱们学到如何发现并分析恶意代码的恶意，颇有用。此次用到了许多工具，刚开始作实验仍是本着学会这些工具去的，用完以后看看老师的要求才发现这等于没作啊，这才看着截图来学分析，不得不说仍是分析更有意义些。

3、实践过程记录

使用schtasks指令监控系统运行

1.先在C盘目录下创建一个netstatlog.bat文件，用来将记录的联网结果格式化输出到netstatlog.txt文件中.
2.netstatlog.bat内容为：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

3.打开cmd输入schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat"，命令会建立一个任务每隔五分钟记录计算机联网。

4.过一段时间能够看到txt文件中的记录。
[] (https://images2018.cnblogs.com/blog/1071529/201804/1071529-20180418143655792-781796717.png)

使用sysmon工具监控系统运行

1.在网上下载了sysmon的7.01版本，而后配置文件以下：

<Sysmon schemaversion="7.01">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">YoudaoNote.exe</Image>
  <Image condition="end with">UCBrowser.exe</Image>
  <Image condition="end with">WeChat.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

2.使用sysmon -accepteula –i指令对sysmon进行安装。
3.启动后门程序后，用事件查看器能够查看相应日志。

使用virscan、virustotal分析恶意软件

1.扫描刚刚的后门程序，能够看到行为分析以及查毒。

• virscan扫描
  
  
• virustotal
  
  

使用systracer工具分析恶意软件

1.使用systracer工具创建了4个快照，分别是在主机中没有恶意软件时、将恶意软件植入到目标主机中后、恶意软件启动回连时、使用恶意软件获取目标主机权限时：
2.1、二相比较没有找到个人后门程序www.exe，我是直接从虚拟中把文件拖了出来，不知道有没有影响。

3.2、三比较找到了这个程序，注册表有变化

4.3、四比较则找到了这个程序调用主机端口、添加注册信息的痕迹。

• 具体分析
• wow64cpu.dll、wow64win.dll：来自Microsoft Corporation。它能够被发如今C:\位置。这是一个潜在的安全风险，它能被病毒恶意修改。
  ：同上。
• ntdll.dll：描述了windows本地NTAPI的接口。当Windows启动时，ntdll.dll就驻留在内存中特定的写保护区域，使别的程序没法占用这个内存区域。参考20145326冯佳学姐的说法，才明白后门程序是调用了ntdll.dll中的函数实现的。ntdll.dll中的函数使用SYSENTRY进入ring0，也就是最高级别的权限。十分危险。

使用wireshark分析恶意软件回连状况

1.设置过滤规则找到后门程序回连的过程，发现其三次握手以及数据通讯过程。

使用Process Explorer分析恶意软件

1.在虚拟机下经过PE explorer打开文件20145236_backdoor.exe，能够查看PE文件编译的一些基本信息，导入导出表等。
以下图，能够看到该文件的编译时间、连接器等基本信息：

2.以下图，点击“导入表”，能够查看该文件依赖的dll库：

• 具体分析;
• WSOCK32.dll和WS2_32.dll，是用来建立套接字的dll库。扫描程序能够根据程序功能描述和这个库相匹配来获得程序是否有计划外的联网行为。
• ADVAPI32.dll库百度可知：是一个高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关。这个属于恶意代码的标志吧，动不动就要操做注册表，确定有问题。 另外2个不作过多介绍，属于通常程序在win下都会调用的dll库。