Exp4 恶意代码分析

Exp4 恶意代码分析

1、基础问题回答

1. 若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。
   （1）咱们可使用一些工具帮助本身监测系统，能够实时监控电脑上的端口信息，若是受到怀疑的恶意代码启动的时候链接了一些看起来很可疑的端口，就能够进一步进行分析。
   （2）咱们能够经过在windows下创建一个监测本机链接ip地址的任务计划程序，不定时的查看一下电脑都在何时连了网干了什么，若是在你以为本身的电脑没有联网的状况下出现了ip访问记录就十分可疑了。
   （3）能够经过sysmon监控几乎全部的重要操做，并在事件查看器中找到日志查看。
   2.若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。
   （1）PE explorer工具，它能够对程序调用库等信息进行分析查看，还能够对其反汇编。
   （2）PEiD工具，能够查看程序有没有被经常使用的加壳软件加壳。
   （3）启动该程序，利用systracer及wireshark动态分析程序动向。

2、系统运行监控

此次实验的第一部分是对本身的主机进行系统监控，尝试可否发现异常状况。

• 结合windows计划任务与netstat命令

  这里有两种方法设置计划任务，第一种是在任务计划程序设置，第二种是命令行输入以下命令：schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat"我选择的是后者
  1. 先在C盘目录下创建一个netstatlog.bat文件，用来将记录的联网结果格式化输出到netstatlog.txt文件中，netstatlog.bat内容为：

     
     date /t >> c:\netstatlog.txt

     
     time /t >> c:\netstatlog.txt

     
     netstat -bn >> c:\netstatlog.txt

  2. 打开Windows下命令提示符，输入指令schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat"指令建立一个每隔五分钟记录计算机联网状况的任务：
     
  3. 五分钟后，咱们来分析日志信息：
     
  4. 黄标的SearchUI是win10专有的程序，及小娜，经过目的端口443能够猜想出来111.202.83.16七、52.222.211.2三、203.208.43.73应该是某些服务器地址，查询IP可知：
     
     
     
  5. 该程序前后访问了北京联通的，香港amazon.com和北京Google.com。惋惜当时没有抓包，单单从这几个IP分析不出来什么问题。

• 使用sysmon工具监控系统运行

  sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上，并保持常驻性。sysmon用来监视和记录系统活动，并记录到windows事件日志，能够提供有关进程建立，网络连接和文件建立时间更改的详细信息。

  1. 安装sysmon：
     • 下载sysmon，能够直接到Microsoft官网下载；
     • 打开命令行，cd到下载目录下，执行命令Sysmon64.exe -i Sysmoncag.xml这里的Sysmoncag.xml文件是课上所给的，可是直接复制该文件，会出现以下问题：
       
       ，这是版本号的问题，咱们先查看咱们将要安装的版本号：
       
       这时，咱们发现，咱们版本号为4.0，因此将.xml文件中的<Sysmon schemaversion="3.10">改为<Sysmon schemaversion="4.00">就行了。
  2. 启动以后，即可以到事件查看器里查看相应的日志：
     • 先打开事件查看器
       
     • 而后在：应用程序和服务日志/Microsoft/Windows/Sysmon/Operational里查询相关日志，我在安装后运行了一次实验二的后门程序，并在目录下查询到的日志以下图：
       
     • 根据这则日志：能够发现是个人后门程序，经过本地端口14143向IP为192.168.1.105的5213端口发送TCP请求连接。

• 使用virscan分析恶意软件

  • 在virustotal网站查看上次后门软件的文件行为分析：
    • 先让咱们看一下详细报告：
      
      
    • 根据上图，能够看出这个程序是在后门不过的后门了，有第二张图能够发现，本程序使用了ADVAPI32.dll、KERNEL32.dll、MSVCRT.dll、WS2_32.dll、WSOCK32.dll，这五个连接库，其中WS2_32.dll、WSOCK32.dll是比较熟悉的win上面编写SOCKET用的，这是用来回连使用的，而advapi32.dll是一个高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关，从这句解释就能够看出，本后门程序的潜在的威胁，kernel32.dll是Windows 9x/Me中很是重要的32位动态连接库文件，属于内核级文件。它控制着系统的内存管理、数据的输入输出操做和中断处理，当Windows启动时，kernel32.dll就驻留在内存中特定的写保护区域，使别的程序没法占用这个内存区域。而msvcrt.dll是微软在windows操做系统中提供的C语言运行库执行文件（Microsoft Visual C Runtime Library)，其中提供了printf,malloc,strcpy等C语言库函数的具体运行实现，而且为使用C/C++(Vc)编译的程序提供了初始化（如获取命令行参数）以及退出等功能，咱们基本上每一个C程序都会用到。
• 使用systracer工具分析恶意软件
  • 下载安装systracer；
  • 我分别建立了三个快照，没有操做后门程序的，第二个是回连成功后的，第三个是攻击主机发送操做指令的
    
  • 经过查看运行的程序，发现咱们的后门程序运行时调用了以下几个库：
    
    • wow64cpu.dll：wow64cpu.dll是一个进程来自Microsoft Corporation。它能够被发如今C:\位置。这是一个潜在的安全风险，它能被病毒恶意修改。
    • wow64win.dll：同上。
    • ntdll.dll：ntdll.dll是Windows系统从ring3到ring0的入口。位于Kernel32.dll和user32.dll中的全部win32 API最终都是调用ntdll.dll中的函数实现的。ntdll.dll中的函-数使用SYSENTRY进入ring0，函数的实现实体在ring0中;
  • 从本后门调用ntdll.dll就可见其侵略意图了。

• 使用wireshark分析恶意软件回连状况

  • 设置IP过滤格式：ip.addr==192.168.43.161，在进行回连操做时，使用wireshark进行抓包后能够看到，其先进行了TCP的三次握手，以后再进行数据的传输，如图所示，带有PSH,ACK的包传送的即是执行相关操做指令时所传输的数据包，
    

• 使用Process Explorer分析恶意软件

  • PE分析恶意软件有两种方式，能够直接分析静态的恶意程序，也能够动态的捕获恶意程序运行的状态，下图是动态捕获的：
    
    能够看出，该test程序是经过TCP协议回连了IP地址为192.168.43.161的。
  • 这是实时运行时出现的线程，咱们尝试KIll掉，咱们会发现Kali机也失去了连接
    
    

3、实验总结

恶意程序分析是个体力活啊，这个实验是在咱们知晓恶意程序是谁的状况下进行的，有针对性，但若是单单从茫茫数据中要分析出每一个程序的可疑行为或者入侵行为，单靠人去读数据，分析数据是根本行不通的，但是依靠杀软，感受也不怎么可靠，因此要真正安全，仍是下图作的好。