Exp4 恶意代码分析 20154301仉鑫烨

20154301 Exp4 恶意代码分析

20154301 仉鑫烨

---

1、 实践内容

1. 系统运行监控

• （1）使用如计划任务，每隔一分钟记录本身的电脑有哪些程序在联网，链接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出全部连网的程序，连了哪里，大约干了什么(不抓包的状况下只能猜)，你以为它这么干合适不。若是想进一步分析的，能够有针对性的抓包。
• （2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控本身主机的重点事可疑行为。

1. 恶意软件分析：分析该软件在

• （1）启动回连时
• （2）安装到目标机时
  

• （3）其余任意操做时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

  读取、添加、删除了哪些注册表项？

  读取、添加、删除了哪些文件？

  链接了哪些外部IP，传输了什么数据（抓包分析）？

---

2、 基础问题

1. 若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

   答：重启计算机，并对计算机的注册表，进程，端口，服务等内容进行检测，并使用抓包软件进行抓包，经过观察注册表，进程等内容的变化筛选出可疑的对象，而后针对可疑的对象在抓包过程当中具体分析，看看有没有能够的创建套接字（也就是链接其余IP地址）的可疑操做，观察能够对象的流量是否异常，对数据包类型解析看看是否有可疑的内容。||| 方法：①注册表信息的增添修改删除。②用来进行网络链接的IP地址端口号。③程序的一系列行为。④可使用wireshark抓包分析，分析网络链接状态；查看软件注册表信息；使用SysTracer等软件查看一段时间内系统注册表信息文件标化状况，将这些信息录入excel分析。。

2. 若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

   答：①使用systracer工具，动态分析注册表修改状况，分析缘由，这样作的目的，查看文件修改状况和端口状况并分析缘由。②使用Wireshark进行抓包分析，查看该程序传输了哪些数据。

---

3、实验过程

系统运行监控

1. Windows计划任务schtasks

• 为实现每5min记录下有哪些程序在链接网络，输入如下命令：
  schtasks /create /TN 20154301netstat /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

• 释义：TN是TaskName的缩写，咱们建立的计划任务名是20154301netstat；sc表示计时方式，咱们以分钟计时填MINUTE；TR=Task Run，要运行的指令是 netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口,MO 表示隔两分钟进行一次。
  

• 此命令完成后，每五分钟就会监测哪些程序在使用网络，并把结果记录在netstatlog.txt文档里，可是不显示记录的时间和日期，这可能不便于咱们判断，要是想显示日期和时间，咱们能够经过bat批处理文件来实现。
  

  在C盘要目录下建一个文件c:\netstatlog.bat（先把后缀设为txt，保存好内容后把后缀改成bat）

  date /t >> c:\netstat4301.txt

  time /t >> c:\netstat4301.txt

  netstat -bn >> c:\netstat4301.txt

• 打开控制面板->任务计划程序，找到咱们的任务20154301netstat
  

• 双击点开，找到操做，点击全部项里的属性选项：
  

• 能够对任务进行修改：找到操做选项卡，选择netstatlog.bat脚本。
  

• 修改为功后，显示：
  

• 问题：没法定时记录数据，须要打开最高权限。
  

• 能够看到记录文件netstatlog.txt中的记录有了时间：
  

• 接下来咱们要作的就是等待，等记录项目够多了再进行分析。

• 这里我选择用excel进行分析：

• 打开Excel点击数据选项卡，在获取外部数据的方式上选择 来自文本，选择咱们以前记录链接状况的文本netstatlog.txt：
  

• 选择分隔符号：
  

• 分隔符号所有选上：
  

• 列数据格式选择常规：
  

• 点击完成，在excel中格式见下图
  

• 首先去掉重复值：
  

• 最终删除1872个重复值，肯定19项内容：
  

• 分析其用途

进程	应用	用途
[vmware-hostd.exe]	虚拟机	实验
[vmware-authd.exe]	虚拟机	实验
[vmware.exe]	虚拟机	实验
[YoudaoNote.exe]	有道云笔记	实验
[WeChat.exe]	微信	唠嗑
[360tray.exe]	360安全卫士实时监控程序	安全软件
[360Game.exe]	360游戏大厅	==???他咋老弹出来==
[WINWORD.EXE]	微软Microsoft Word的主程序	实验存图
[EXCEL.EXE]	微软Microsoft Excel的主程序	实验数据分析
DiagTrack	系统负责数据收集和错误信息
[svchost.exe]	微软Windows操做系统的系统程序
[360se.exe]	从动态连接库 (DLL) 中运行的服务
[SGTool.exe]	搜狗输入法的加速启动程序	打字
[360mobilesrv.exe]	360手机助手	==360太流氓了自动上传数据==
CryptSvc	系统认证服务	微软公钥体系PKI

• 总而言之个人电脑仍是很安全的，可是360的流氓行为（自动后台打开360手机助手并偷跑流量）确实经过此次实验引发了个人注意。

2. Sysmon

• 明确监控目标

  —— 网络链接、驱动加载、远程线程建立、进程建立、访问和结束等

• sysmon微软Sysinternals套件中的一个工具，能够从码云项目的附件里进行下载，要使用sysmon工具先要配置文件，一开始我直接用的是老师给的配置文件,建立配置文件20154301.txt（注：必定要以管理员身份运行）：

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• 配置好文件以后，要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令对sysmon进行安装：
  

• 启动以后，即可以到事件查看器里查看相应的日志，在"运行"窗口输入eventvwr命令（我是直接输的，这个命令在哪一个目录输均可以的），打开应用程序和服务日志，根据Microsoft->Windows->Sysmon->Operational路径找到记录文件：
  

• 我查看了其中一部分事件的详细信息，好比这个事件是以前作计划任务时所建立的：
  

• 例以下面的事件是360安全浏览器对文件的建立时间进行了更改，应该也就是更新：
  
  

• 将后门程序放入windows主机，在Kali下进行回连操做：
  

• 木马极可能假装成电脑自带的explorer.exe进程
  

• 以后，我对Sysmoncfg.txt配置文件进行了修改，重点是监视80和443以及4301端口的联网状况
  

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">SogouExplorer.exe</Image>
</NetworkConnect>

<NetworkConnect onmatch="include">     
  <DestinationPort condition="is">80</DestinationPort>      
  <DestinationPort condition="is">443</DestinationPort>
  <DestinationPort condition="is">4301</DestinationPort>    
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• 4301端口
  

• 443端口（忘了截图了）

3. virscan

• 不知什么缘由virscan出现一些问题没法像上届同窗同样使用，故我最终选择使用virustotal。
  

• 查看细节信息（我尽力想把它看懂，可是我没有）
  

4. systracer

• 点击take snapshot来快照，四个快照：1.将恶意软件植入到目标主机中后；2.恶意软件启动回连时；3.恶意软件执行dir命令进行查看时；4.恶意软件进行截屏操做时。
  

• 比较一、2，咱们能够看到不少信息，包括IP及端口
  
  

• 恶意软件执行dir命令时无特殊信息，但在进行截屏操做时注册表信息有了修改：
  

5. 联网状况分析

在后门程序回连时，在主机的命令行中用netstat -n命令查看TCP链接的状况，能够发现其中有进行回连的后门程序：

• 回连时创建tcp链接
  

• 在后门程序回连时，打开wireshark，进行捕包分析，查看详细的协议分析发现，后门程序创建了三次握手并回连时进行了基于IP和端口的链接
  

6. Process Monitor

• 打开Process Monitor就能够就看到按时间排序的winxp执行的程序的变化，运行一下后门程序4301.exe，再刷新一下Process Monitor的界面，能够指定查找到程序。
  

7. PEiD

• PEiD是一个经常使用的的查壳工具，能够分析后门程序是否加了壳。

• 加壳
  

• 不加壳
  

8. Process Explorer

• 打开Process Explorer，运行后门程序4301.exe，在Process栏能够找到4301.exe
  

• 双击后门程序4301.exe一行，点击不一样的页标签能够查看不一样的信息：

• TCP/IP页签有程序的链接方式、回连IP、端口等信息。
  
  

• Performance页签有程序的CPU、I/O、Handles等相关信息。
  

---

4、实验体会

• 本次实验极为繁琐，因为对各类软件的不熟悉，消耗了不少时间，学长学姐们的报告给了我不少帮助。在实验中，我掌握了各种分析恶意软件的方法，也发现了本身电脑中平时没有关注到的流氓软件，十分受益。另外在本次实验的学习过程当中，我对恶意软件的特征认识也有了很大的提高，好比筛选能够对象，查看是否含有创建套接字的能够操做等等。总之本次实验虽然麻烦，但收获良多。