实验四 系统监测和恶意代码分析 20155104 赵文昊

实验四 系统监控与恶意代码分析

实验原理与要求

此次试验主要作系统监控，利用netstat监控网络状态，使用sysmon软件生成日志文件，都能达到监控的目的。
恶意代码分析主要根据systracer和wireshark进行行为跟踪，分析代码的功能和目的，推断出病毒的行为类型和目的。还能够依靠virustotal等网站帮助检测软件行为！

实验步骤

netstat实现网络监控

netstat是一款多平台通用的网络监控指令，在Windows下直接打开命令提示符，敲入netstat命令后就能够实现网络监控，我的感受有点像抓包的那些软件，我以为这个实验开一天的抓包也不是不行。。。若是能够的话-_-||
这个是命令运行后的效果。

若是感受哪里不对劲的话，大概是目标看不大明白，这个时候使用netstat -n就能够转化为查看IP地址，是否是一目了然？

接下来修改一下咱们的计划任务，能够自动收集好……长时间的网络链接动态信息。
首先建立一个文件c:\netstatlog.bat，而后在文件内写入如下信息：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

emmmmm.......而后打开管理员模式的命令提示符（亲测Windows Powershell管理员也是能够的，右键点击开始键就能够看到了），输入命令

cmd /c netstat -bn > c:\netstatlog.txt

这样，电脑的每五分钟计划任务就会被替换为上面文件内容的任务，大概就是将时间日期和netstat命令获得的信息都添加在c:\netstatlog.txt文件里面，这样，文件里面的东西就很整齐了。看一下效果：

这个能够放在Excel文件里面统计数据！
Windows10 的电脑能够很轻松地放到控制面板->计划任务中去，还能够很自由地设置触发器规则，不用担忧停不下来的问题！

直到如今都是在个人主机下面作的，彻底没考虑那么多，因此我只想先把计划任务关掉！很少说了我去开个人虚拟机去了……

sysmon实现日志监控

这个软件并非Windows的自带软件，因此命令行中无论怎么敲都是没有用滴！能够的话从Microsoft官网上下载一个（度娘搜索sysmon就能够看到！），我我的以为用起来不是很舒服，因此最后仍是选择下载了老师提供的3.10版本。
首先编写一个设置文件，用来设置sysmon监视的内容，语法与XML文件很类似，可是首次接触的人们学习起来仍是有一些困难的，不得不编写比较多的次数才能作到不出错。。。作这个实验的大部分时间就是花在这里了。
就是这样！（烦死了，吐槽一下老师应该不会看见）

最终文件内容以下：

<Sysmon schemaversion="3.10">  
 <EventFiltering>  
    <DriverLoad onmatch="exclude">  
      <Signature condition="contains">Microsoft</Signature>  
      <Signature condition="contains">Windows</Signature>  
    </DriverLoad>  
    <NetworkConnect onmatch="include">  
      <DestinationPort>443</DestinationPort>  
      <DestinationPort>80</DestinationPort >  
    </NetworkConnect>  
    <FileCreateTime onmatch="exclude" >  
      <Image condition="end with">MicrosoftEdge.exe</Image>  
    </FileCreateTime>  
    <NetworkConnect onmatch="exclude">  
      <Image condition="end with">MicrosoftEdge.exe</Image>  
      <SourcePort condition="is">137</SourcePort>  
      <SourcePortName condition="is">llmnr</SourcePortName>  
      <DestinationPortName condition="is">llmnr</DestinationPortName>  
    </NetworkConnect>  
  </EventFiltering>  
</Sysmon>

这就是我花了好大劲设计出来的监视设置，这个语法掌握还须要很长时间，在过程当中常常会出现“含有没法辨认的字符”以及某个标签内不能含有文本之类的错误提示，大可能是不当心才会犯下的错误。
经过以后大概是这样的效果（细节，这里要用管理员权限运行，若是不用管理员权限确定是不行的，可是在检查配置文件错误的时候并不影响）：

而后去事件与日志查看器中去看一下咱们抓到的日志！看看有没有什么不是很正常的地方？个人好像是没有吧……

开启咱们在实验三中制做的后门，而后观察咱们的日志文件，看看，观察到了一点点猫腻呢！

每次查看日志，只须要在事件与日志查看器，按照如下路径打开文件夹（Applications and Services Logs/Microsoft/Windows/Sysmon/Operational），找到最后的文件，就能够查看到sysmon监视的日至事件。

systracer进行恶意代码分析

这个环节须要用到一个软件叫作SYSTracer，在这里能够用来对比两个时间点的计算机状态发生了什么变化。
原理上就是先在正常状态下拍摄一个系统快照（跟虚拟机那个快照很像），而后再对比一下病毒开启状态下的系统快照有什么不同的地方，控制变量法分析恶意代码。若是你的电脑原本就有病毒，辣么你就能够直接研究啦！（开个玩笑-_-||）

两个快照拍下来啦！第一个是我在正常状态下的快照，而后运行后门程序，在进程还存在的时候再拍一个快照！（为了保证这段实验的效果，推荐关掉一些比较活跃的进程，否则会干扰判断）

这是对比两个快照的详细信息，其中能够看出来个人后台还在运行着搜狗拼音输入法和Cortana（微软小娜）两个程序，还有个人后门程序加入了进程，还有不少我看不太懂的东西…………但愿老师知足在下的好奇心！（老师看这里看这里 ( ^ o ^)/~）

Wireshark抓包观察恶意代码的网络使用情况

Wireshark是一款网络分析时经常使用的网络监听软件，这个软件会把网卡调整到混杂模式，在这个模式下网卡会接收全部它能听到的数据包，软件就会将这些数据包通通监听下来，进行一些简单分析。
这个实验中咱们仍是先关掉一些网络活跃的进程，或者好好设置一下抓包规则，这样方便咱们观察网络状况。咱们仍是观察后门程序的网络状况。

能够很舒服地看到个人受感染机（192.168.43.16）发起反弹链接，链接到控制端（Linux192.168.43.74）ARP协议内容能够看得出来哟！

这里我以为大概就是传送命令的地方（直觉，我以为是这里）由于这里不同了。

实验感想

因为这个计划任务搞得有点晚（以前代码敲错了一直在覆盖原文件而不是追加在文件尾，收集的数据并很少），还没能作到数据统计，会补上这一条。 因为咱们的计算机操做系统很是复杂，在查看两个快照对比的时候，仍是有不少阅读困难的，不能很敏锐地观察到恶意代码的存在，若是这不是本身写的代码，或许咱们还不能从sysTracer中发现病毒的踪影，这一点看得出来咱们还有不少须要学习的地方。 此次试验的实用性仍是很高的，也加强了咱们的保护意识和计算机防护能力，提供了除依赖杀毒软件之外的防护方式。