20145210姚思羽《网络对抗技术》 恶意代码分析

20145210姚思羽《网络对抗技术》 恶意代码分析

实验后回答问题

1.若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

（1）使用计算机自带的schtasks指令动态监控系统运行

（2）使用sysmon工具动态监控系统运行

（3）使用wireshark抓包检测流量等进行分析

（4）使用PE Explore分析恶意软件里的内容

2.若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

（1）使用systracer工具进行快照分析注册表信息、文件行为等信息的变化

（2）在恶意代码检测网站上检测查看行为报告

（3）使用wireshark检测这个程序联网时进行的操做

实验总结与体会

本次实验对本身的主机小小的监控了一下，发现有一些恶意代码杀软真的检测不出，一些程序真的是默默地在计算机里搞一些事情，甚至我都没有开机他就开始运行，之后对于本身的计算机不能彻底依靠杀软，仍是要利用已有的一些工具进行监控分析

实践过程记录

恶意代码动态分析

1、使用schtasks指令监控系统运行

1.创建netstatlog.bat文件，用于记录联网内容，文件内容以下：

date /t >> d:\netstatlog.txt
time /t >> d:\netstatlog.txt
netstat -bn >> d:\netstatlog.txt

2.在命令行中输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "d:\netstatlog.bat"建立任务，每隔两分钟记录联网内容

3.打开netstatlog.txt文件查看记录内容，刚开始打开的时候出现如下问题：

多是权限不够，设置为以管理员身份运行以后成功完成联网记录，目前看到的是关闭了与211.136.25.211的链接，并与三个网络创建链接

2、使用sysmon工具监控系统运行

1.下载、配置并安装sysmon

2.启动以后能够在事件查看器中查看到相应的日志

3.看了一些具体的日志内容，找到了启动sysmon.exe的事件

4.找到了一个可疑事件，360卫士在我没有打开电脑的时候作了一些事情

3、使用SysTracer工具分析恶意软件

1.使用SysTracer工具创建如下五个快照：

1.一开始在目标主机上进行快照保存为Snapshot #1；
2.在虚拟机中生成后门软件，将文件传到目标主机后快照保存为Snapshot #2；
3.在虚拟机开启监听的状况下，在目标主机运行后门程序后快照保存为Snapshot #3；
4.在虚拟机对目标主机进行截图后在目标主机中快照保存为Snapshot #4；
5.在虚拟机获取目标主机摄像头后在目标主机快照保存为Snapshot #5.

2.快照结果比对分析：

（1）快照1和快照2：

能够看到在ncat文件夹下多了咱们传输的fool_5210.exe：

也能够看到在传输过程当中有网络诉求

（2）快照2和快照3：

成功回连以后发现增长了一个注册表键

（3）快照3和快照4：

注册表信息又有变化

（4）快照4和快照5：

获取目标主机摄像头后快照发现传输过来的程序有网络诉求

4、使用wireshark分析恶意代码文件传输状况

1.经过虚拟机向目标主机发送恶意代码，使用wireshark进行抓包，咱们抓到了虚拟机与主机的三次握手包

2.创建链接以后开始传输文件，图中[FIN,ACK]的包就是传输的数据包

3.具体看一下数据包的内容，这个包是从虚拟机发到主机的，端口是5210，使用IPv4协议

4.wireshark还捕捉到个人虚拟机和其余IP地址的链接

恶意代码静态分析

1、使用virscan分析恶意软件

1.在病毒分析网站上分析以前咱们本身生成的后门程序

（1）发现有21/39的杀软可以查杀到这个恶意代码

（2）这个代码由PACKER:UPolyX v0.5加的壳

（3）它能创建到一个指定的套接字链接，而且能删除注册表键和注册表键值

2、使用PE Explore分析恶意软件

1.使用PE Explore打开可执行文件，能够看出文件的编译时间是2009年8月1日16：20：59，连接器版本号为6.0

2.看一下这个文件的导入表中包含的dll文件：

（1）ADVAPI32.dll可实现对注册表的操控

（2）WSOCK32.dll和WS2_32.dll用于建立套接字

，