20145324王嘉澜《网络对抗技术》恶意代码分析

实验内容

•schtasks、Sysmon对电脑进行系统检测，并分析
•对恶意软件进行静态分析，直接上传到网上，或者利用pe explore等软件
•对恶意软件进行动态分析，使用systracer，以及wireshark分析

实验问答

•一、若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。
用主机自带的schtasks，或者下载Sysmon，就是实验作的那些东西来监控

•二、若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。
wireshark抓包分析，systracer查看注册表信息

实验总结与体会

再一次刷新了恶意代码在我心中的地位，他们居然能够悄无声息地在电脑里运行着。而后一些不知名的程序也在悄悄地运行着，拉低了我电脑的速度，怪不得会卡到爆炸

还有就是此次试验太坑了，作的时候真的是让人心累，只能庆幸本身不是小组长和课题负责人

实践过程记录

使用schtasks指令监控系统运行

•建立计划任务 "netstat"

•在c盘目录下查看netstatlog.txt的内容看有哪些进程在联网
而后有趣的事情发生了，我C盘里没有这个txt
而后我找到那个EXE打开发现是在监听的

而后同窗告诉我能够输netstat -an >> c:\xxx.txt建一个txt
而后真的有但是看不见进程的名字

因而我就很心累，借了同窗的电脑作了一次
而后成功了

•在命令行中输入下列命令，就能够看见netstatlog.txt文件输出中的时间

•而后在点击开始输入“任务计划”打开任务计划程序的图形界面，在任务计划程序库中能够找到咱们创建的netstat，在该任务下点击属性，编辑操做，将"cmd /c netstat -bn > c:\netstatlog.txt"替换为“c:\netstatlog.bat”，成功后再次打开c盘下的netstatlog.txt,就能够看见新加了时间


•结果以下

•查看联网的程序

使用sysmon工具监控系统运行

•在D盘创建文件Sysmoncfg.txt，并输入老师给的内容
•在命令行中输入：Sysmon.exe -i D:\Sysmoncfg.txt

•打开“应用程序和服务日志->Microsoft->Windows->Sysmon->Operational”,以查看所获得的消息

•点击事件属性能够看到详细信息

使用virscan对恶意软件进行静态分析

•上传木马到网站，获得具体的内容信息包括注册表行为的改变，链接到具体的套接字等

使用PE explorer对恶意软件进行静态分析

•木马文件各个属性值

•各个section的属性值

•反汇编结果（看不懂）

•调用的动态连接库文件

使用systracer对恶意软件进行动态分析

•1：打开攻击机msfconsle，开放监听，在主机下对注册表、文件、应用状况进行快照，保存为Snapshot #1
•2：主机上下打开木马，回连kali，在主机下再次快照，保存为Snapshot #2

•3：kali中经过msf发送文件给主机，在主机下再次快照，保存为Snapshot #3

•4：kali中对win10靶机进行屏幕截图，win10下再次快照，保存为Snapshot #4
•快照结果

•启动回连时注册表发生变化

•启动回连时，新建了新的应用

使用wireshark对恶意软件进行静态分析

•设置IP过滤格式：ip.src==192.168.88.129 or ip.dst==192.168.88.129捕捉靶机回连kali时经过TCP的三次握手协议过程
•设置IP过滤格式：ip.src==192.168.88.129 and ip.dst==172.39.5.7捕捉靶机kali向虚拟机win7发送文件的数据包
可是我并无捕捉到任何上诉两种中的一个包
心是累的

惧怕本身没有回连成功，又从新作了一次，同样的结果

捕获了一堆没用的包
结果然是男默女泪 愉快地结束了实验 须要看一下子小哥哥才能够抚平心里的创伤