20155318 《网络攻防》Exp4 恶意代码分析

时间 2019-11-20

标签网络攻防 exp4 exp 恶意代码分析栏目系统网络繁體版

原文原文链接

若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。
- 用sysmon软件进行监测，它会将运行的程序以日记的方式记录下来查看有无恶意代码在运行。
- 可使用systracer注册表分析方法进行，恶意代码入侵先后分别拍摄快照。
- 用wireshark抓包的方法，经过查看是否有回连操做找到是否有恶意代码在运行。
若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。
- 用systracer进行快照对比/在virscan上将怀疑的程序放上去进行扫描

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

保存后修改文件名为“netstatlog.bat”；
建立过程当中出现以下问题
解决方案以下
运行一段时间并分析该文件，综述一下分析结果。目标就是找出全部连网的程序，连了哪里，大约干了什么。
经分析主要有vmware-authd,vmware,kxescore（金山毒霸的查杀子系统及文件实时监控服务进程）,WeChat,2345Explorer,thunderplatform（迅雷），svchost.exe等等，（怪不得电脑天天这么慢……）浏览器

设置合理的配置文件，监控本身主机的重点事可疑行为。缓存

sysmon微软Sysinternals套件中的一个工具，能够从码云项目的附件里进行下载，要使用sysmon工具配置文件Sysmoncfg.xml
配置好文件以后，使用sysmon -accepteula -i -n和sysmon -c Sysmoncfg.xml进行安装：
安装完成以后，看看sysmon是否在运行
打开事件查看器，以下图：
查看部分事件的详细信息
临时文件（APP缓存数据）
使用2345浏览器
使用微信
使用kali进行后门回连
sysmon当即捕捉到后门程序的运动
运行dir后，咱们发现了一个很是重要的进程svchost.exe，它是视窗操做系统里的一个系统进程，管理经过Dll文件启动服务的其它进程
dllhost.exe是微软Windows操做系统的一部分。dllhost.exe用于管理DLL应用，是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。

分析该软件在(1)启动回连，(2)安装到目标机(3)及其余任意操做时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件服务器

（1）读取、添加、删除了哪些注册表项微信

（2）读取、添加、删除了哪些文件网络

（3）链接了哪些外部IP，传输了什么数据（抓包分析）tcp

下载安装Systracer（端口号设置成学号）工具

一开始在目标主机上进行快照保存为Snapshot #1；
在虚拟机中生成后门软件，将文件传到目标主机后快照保存为Snapshot #2；
在虚拟机开启监听的状况下，在目标主机运行后门程序后快照保存为Snapshot #3；
进行分析
点击上方“Applications”->左侧“Running Processes”->找到后门进程“5318exp4_backdoor.exe”->点击“Opened Ports”查看回连地址、远程地址和端口号：
蓝色标注的地方，就是先后发生变化的地方
对比两个快照
能够看到第二次两次快照中增长的部分
新添加的注册表
观察其路径

用wireshark抓包分析链接了哪些外部IP，传输了什么数据网站

在回连以前，开始捕获；
回连完成后结束捕获，并把过滤规则设置为ip.addr == 192.168.153.129（kali的IP）把没用的包过滤掉，下图为tcp传输的三次握手过程

在virscan网站上查看上次实验所作的后门软件的文件行为分析操作系统

本次实验让我了解了使用sysmon工具、schtasks指令监控系统运行，用virscan、systracer工具、wireshark分析恶意代码、软件、回连的状况，体会到监查对查杀恶意代码的重要性！同时也对自身电脑被部分软件占用很大一部分进程感到震惊……设计