20145320恶意代码分析

时间 2019-12-07

标签恶意代码分析繁體版

原文原文链接

20145320《网络对抗》恶意代码分析

本实践有两个目标，（1）是监控你本身系统的运行状态，看有没有可疑的程序在运行。(2)是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件。shell

1.系统运行监控

（1）使用计划任务

每隔五分钟记录本身的电脑有哪些程序在联网，链接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。windows

C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"浏览器

这样就在计划任务里面添加了一个任务，就是每五分钟使用cmd执行命令netstat -bn并把结果存放到c:\netstatlog.txt文件中！
咱们再加工一下，在C盘要目录下建一个文件c:\netstatlog.bat，内容以下：网络

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

能够在图形界面打开计划任务，将其中每5分钟执行的指令从"cmd /c netstat -bn > c:\netstatlog.txt"中的netstat -bn > c:\netstatlog.txt替换为“c:\netstatlog.bat”。工具

更改完后，咱们在netstatlog.txt中会看到以下的输出，多了日期与时间，这样看起来更方便。学习

接下来就是人工分析过程网站

上面生成的文件抓取了个人电脑从周二晚上到周三晚上之间联网的文件。将文件内容复制到excel中，再看如何统计分析。主要是目的是为了找出哪些软件连网最多，都链接了哪些IP,把没用的重复项都去掉。
删除了相似
TCP 127.0.0.1:19120 127.0.0.1:19119 TIME_WAIT
的项以后进行分析命令行

发现了除了正在使用的火狐浏览器和酷狗音乐以外，还有一个文件dlna_player.exe在不停的进行联网。翻译

使用everything查找电脑中名叫dlna_player.exe的软件设计

发现是在这个路径之下！

Roaming文件夹是用来存放软件的配置文件和临时文件的，Kugou8说明这个是酷狗的文件。通过上网查询发现这个是酷狗DLAN服务（手机投放功能），经过DLNA技术,能够在家庭局域网中将手机、平板、电脑、电视或者音响及其余音视频设备联通起来,互相之间能够访问其中的音乐、照片和视频。

看来并非说明可疑软件！

这里咱们仔细分析一下，这里源地址和目的地址都是127.0.0.1，说明是在本身的电脑上的不一样端口上进行运行，并无进行联网活动！

真正的进行联网的软件应该是这样：

本机地址是172.30.2.22，链接端口是80就是在链接http，链接端口是443就是在链接https。

（2）sysmon工具

按照步骤安装并设置好之后：

按照老师的指示应该在“Applications and Services Logs/Microsoft/Windows/Sysmon/Operational”里，我怎么就硬是找不到了（中英文对照翻译也没有找到）

后来问了别人解决了这个问题，在事件查看器里面查看，能够查看文件的联网：

2.恶意软件分析

对以前实验生成的5320_2.exe在virscan.org上面进行行为分析：

分析其文件行为

这些行为都是木马后面软件所要干的危险的事情！

PE explorer

可使用这个软件打开后门程序查看一些基本信息和导入导出表等：

上图能够看到程序的文件头的信息。

上图能够看到程序节头的信息和一些指向操做信息

这里能够看到程序引入了哪些dll。

SysTracer v2.10

这里使用SysTracer 分析软件来对后门软件的运行过程来进行分析

分析对象上选择以前在网页上分析只有7款杀软查出问题而电脑管家没有查出问题的5320_2shelldoor.exe，仍是由虚拟机Kali做为攻击方进行监听，本身的主机做为靶机进行回连。

首先在执行后门以前打开安装好的SysTracer而后进行一次快照，选择注册表和应用进行快照。
而后在执行后门程序回连成功以后第二次快照
在kali经过msf对靶机进行截屏以后第三次快照

对比第一二次快照，发现
一、打开了新的Handles

二、打开了新的端口8888

对比第一二次快照，发现

一、注册表有变更

二、端口变化

1.实验后回答问题

（1）若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

因为后面软件的目的都是获取受害者的资料，那就须要联网上传。这时监控联网信息，监控连接了哪些ip，抓包看看传送的数据是否敏感。同时监控注册表信息对自启动文件需格外留意。

这个时候咱们能够：
wireshark进行抓包分析，查看系统到底进行流量交换直接的内容有没有敏感信息，效率较低。另外，使用软件分析注册表信息是否合理。使用sysmon用来监视和记录系统活动，并记录到windows事件日志，能够提供有关进程建立，网络连接和文件建立时间更改的详细信息。

（2）若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

当某个进程已经被确认为有问题时。wireshake就好用多，在关闭其余联网进程的状况下一抓包，就能够看出这个软件到底在进行什么鬼操做！另外去virscan.org网站扫描可疑进程，能够大体了解进程的行为。固然使用PE也是很棒的！

2.实验总结与体会

这个实验感受更多的是在学习使用各类各样的命令行和工具来监视咱们的电脑进程。不过这也没有办法，由于只要后门软件不做怪，不启动，咱们很难拿他有什么办法。只有当他启动了，修改了某些东西或者上传了某些数据，咱们才能有所察觉，这样很是被动效率也很是低，可是也迫不得已。毕竟有些后门程序启动了咱们都没法察觉（对吧360）！

留给我一种感受就是道高一尺，魔高一丈。作分析尚未直接作一个后门简单哈哈哈哈。