Exp4 恶意代码分析 20164309

实践内容

1、系统运行监控

（1）使用如计划任务，每隔一分钟记录本身的电脑有哪些程序在联网，链接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出全部连网的程序，连了哪里，大约干了什么(不抓包的状况下只能猜)，你以为它这么干合适不。若是想进一步分析的，能够有针对性的抓包。

①使用计划任务监控联网状况

以管理员身份运行命令提示符

输入 schtasks /create /TN 20164309netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt" 

其中TN是Task Name；SC:是SChedule type；MO是 MOdifier；TR:是Task Run

这里有一些小小的问题，尽管咱们是以管理员身份运行的命令行提示符，可是在计划中的权限仍是要手动改成最高权限，为了记录时间的准确性，还能够将间隔时间改成1分钟；若是直接使用学长学姐的代码，会覆盖原有的内容，因此在>的后面要多加一个>才会输出追加剧定向。

 

建立一个bat文件“netstatlog.bat”，内容为:

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

本机不能直接编辑bat文件，而且不能直接在c盘根目录中建立txt文件，我是先在d盘中建立txt文件，其中输入内容再将后缀改成bat，再将文件剪切至c盘中。

 

再进入计划任务中建立任务“20164309 netstat1”，本任务的做用是经过记录时间。统一标准，设置为1分钟运行一次。

 

一样要以最高权限运行。

 

设置完毕以后能够看到文件内容不只有数据还有时间了。

 

②使用Excel数据透视表对收集的数据进行分析

使用自文本导入外部数据netstatlog.txt

 

使用分隔字符将文本导入向导

插入数据透视表

 

选取协议列进行分析

 

删去没必要要的二级字段，将一级字段拖入轴与值

 

将统计数据转换成图表

 

③将这些程序一一检查，发现了如下几个有问题：

1. [BrowserProtect99.exe]

 

2.[devenv.exe]

 

3.[GameBarPresenceWriter.exe]

4.DiagTrack

 

5.wlidsvc

 

 

 

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控本身主机的重点事可疑行为。

①编写配置文件

根据以前的数据收集编写相应的配置文件20164309.xml

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
      <Image condition="end with">MicrosoftEdgeCP.exe</Image> 
      <Image condition="end with">QQ.exe</Image>
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">MicrosoftEdgeCP.exe</Image> 
      <Image condition="end with">QQ.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>
      <DestinationPort condition="is">4309</DestinationPort>   
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">MicrosoftEdgeCP.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

输入“sysmon64.exe -i ”安装sysmon

输入sysmon64.exe -c 20164309sysmonfig.xml，使用配置文件

 

发现使用的版本号错误，在xml中改成4.20

 

配置成功

 ②复现实验二，使用后门进行回连

进入事件查看器

 

 

搜索4309端口有关的信息

 

能够清楚地看到回连过程当中的各项信息

 

（2）恶意软件分析

 使用Systracer，对快照进行分析

我建立了五组快照，分别为：

snapshot#1.不作操做

snapshot#2.使用ncat传输后门

snapshot#3.使用后门，进行链接

snapshot#4.使用dir指令查看文件

snapshot#5.使用webcam_snap进行拍照

 

因为老师提供的systracer是未破解版本，最多只能建立五次快照容错率低，在我摸索快照使用时形成了必定的困扰，因此我下载了一个破解版进行试验，但因为破解版缺乏相应openhandle与openport部分的功能因此我结合两个版本进行了实验。同时我在实验开始之时没有理解快照的含义，片面地认为操做必须在建立快照的时候进行，致使数据分析时产生了问题。

在此选取了状况一些进行分析：

snapshot#1 与snapshot#2

最直观地差别就是传输的成果——20164309_backdoor.exe

我是经过ncat传输后门的记录快照时同时也使用了systracer，所以ncat、systracer注册表都有了更改；

 

snapshot#2 与snapshot#3

注册表中不少项被更改

 

查看端口能够看到链接到虚拟机4309端口

 

snapshot#3 与snapshot#4

查看openhandle发现SearchFilterHost被频繁使用，可能与搜索文件有关

snapshot#4 与snapshot#5

 

调用摄像头时传输照片数据时可能对流量管理有了一些影响

 使用wireshark进行抓包

经过抓包能够看到通讯在kali端地址为192.168.236.131端口为4309与以太网适配器端（即主机端）192.168.236.131端口为59132间进行，尽管只是进行了回弹与文件查询，但数据传输进行了五百屡次，可见后门之因此这么小还能实现这么多功能并非因为自己的功劳，更多的是对系统的调用。

 

 

 实验后回答问题

（1） 若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

和本次实验中所作的同样，经过运用计划任务隔一段时间来记录本机中程序的运行状况；

安装sysmon，有针对性地配置文件，监控主机程序联网状况，查看日志进行分析

 

（2）若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

virscan，静态分析

systracer，经过快照分析更改的文件、注册表、应用程序等等

Wireshark，经过抓包分析传输数据的具体内容

 

遇到的问题与实验心得

遇到的问题在实验内容中已经详细描述过了，再此很少作赘述；

这四次实验极大程度上磨炼了个人耐心，对知识掌握不够牢靠和对工具使用的不熟练致使了我一次次的失败，尽管磕磕绊绊最后仍是成功了，但我仍是深感本身能力的不足，但愿在余下的五次实验中，个人能力可以获得进一步的提高。