2018-2019-2 20165313 《网络对抗技术》Exp4 恶意代码分析

1、实践目标

1.监控你本身系统的运行状态，看有没有可疑的程序在运行。
2.分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件。
3.假定未来工做中你以为本身的主机有问题，就能够用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

2、实践内容（3.5分）

2.1系统运行监控（2分）
（1）使用如计划任务，每隔一分钟记录本身的电脑有哪些程序在联网，链接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出全部连网的程序，连了哪里，大约干了什么(不抓包的状况下只能猜)，你以为它这么干合适不。若是想进一步分析的，能够有针对性的抓包。
（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控本身主机的重点事可疑行为。
实际日志的分析还须要发挥下本身的创造力，结合之前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理，这就得你们会什么用什么了。

2.2恶意软件分析（1.5分）
分析该软件在(1)启动回连，(2)安装到目标机(3)及其余任意操做时，该后门软件
（3）读取、添加、删除了哪些注册表项
（4）读取、添加、删除了哪些文件
（5）链接了哪些外部IP，传输了什么数据（抓包分析）

3、实践步骤

1.系统运行监控

使用schtasks指令监控系统运行：
（1）在D盘下新建一个文本文档，输入下列内容后，改名为netstatlog.bat

date /t >> D:\netstatlog.txt
time /t >> D:\netstatlog.txt
netstat -bn >> D:\netstatlog.txt

以管理员身份运行powershell，输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "d:\netstatlog.bat"，建立一个每隔两分钟记录计算机联网状况的任务

短期记录与分析：

这些回环地址的能够抛弃，重点关注别的地址连接：

由443,80端口能够猜想应该是连接某些服务器，简单查询了一下：



但仅仅凭借这几个IP地址，并不能有实质性的了解，因此还须要进一步监测分析。

长时间记录与分析：（操做细节详见学姐博客）

从图表中能够看出：ali213_box.exe运行次数最多，查了一下是游侠云盒（果真是游戏软件）

2.使用sysmon工具

（1）下载并安装，建立配置文件，并放到Sysmon.exe目录中。注意：这里老师给的代码须要修改：<Sysmon schemaversion="3.10">中的3.10要根据实际修改，个人版本是4.20，因此修改成

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

（2）以管理员身份运行powershell,在对应路径下运行.\Sysmon.exe -i .\Sysmoncfg.txt，以安装Sysmon

（3）在事件查看器中的应用程序和服务日志下，查看Microsoft->Windows->Sysmon->Operational。

（4）后门程序运行分析：


根据这则日志：能够发现是个人后门程序，经过本地端口58024向IP为192.168.43.56的5313端口发送TCP请求连接。

3.恶意软件分析

1、文件扫描

（1）使用virscan分析恶意软件：

查看其行为分析：

该后门用了kernel32.dll和msvcrt.dll两个连接：kernel32.dll是Windows 9x/Me中很是重要的32位动态连接库文件，属于内核级文件。它控制着系统的内存管理、数据的输入输出操做和中断处理，当Windows启动时，kernel32.dll就驻留在内存中特定的写保护区域，使别的程序没法占用这个内存区域。而msvcrt.dll是微软在windows操做系统中提供的C语言运行库执行文件（Microsoft Visual C Runtime Library)，其中提供了printf,malloc,strcpy等C语言库函数的具体运行实现，而且为使用C/C++(Vc)编译的程序提供了初始化（如获取命令行参数）以及退出等功能，咱们基本上每一个C程序都会用到。

2、工具分析

（1）使用systracer工具分析恶意软件
我分别建立了三个快照：
1.初始状态，2.成功回连，3.远程操做，4.结束连接：

快照分析
（1）对比第一张和第二张不难发现：
1.增长了后门程序并获取了windows桌面权限，还有不少增长或删减的键值，增长或删减的.dll文件。
2.经过TCP创建了连接。

（2）二，三两张比较:发现其中有大量文件被删除后加载，或加载后再删除，大胆猜想可能和获取权限调用有关

（3）3、四比较：结束TCP连接，并新增回环

（2）使用wireshark分析：在恶意软件回连时，能够用wireshark捕捉通讯内容。
先输入表达式ip.addr==192.168.43.56and tcp过滤掉不须要的内容接着就能够看到恶意软件回连的通讯信息，能够看到先进行了TCP三次握手：

着能够看到攻击机向靶机传送代码：

（3）使用Process Explorer分析恶意软件：打开TCP/IP信息

这是实时运行时出现的线程，咱们尝试KIll掉，咱们会发现Kali机也失去了连接：

实践问题回答

若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。
（1）咱们可使用一些工具帮助本身监测系统，能够实时监控电脑上的端口信息，若是受到怀疑的恶意代码启动的时候链接了一些看起来很可疑的端口，就能够进一步进行分析。
（2）咱们能够经过在windows下创建一个监测本机链接ip地址的任务计划程序。
（3）能够经过sysmon监控几乎全部的重要操做，并在事件查看器中找到日志查看。

2.若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。
（1）PE explorer工具，它能够对程序调用库等信息进行分析查看，还能够对其反汇编。
（2）PEiD工具，能够查看程序有没有被经常使用的加壳软件加壳。
（3）启动该程序，利用systracer及wireshark动态分析程序动向。
（4）利用wireshark抓包分析

实践感想

本次实践内容操做并不困难，但却很耗费时间，这就须要咱们拥有足够的耐心。分析数据是一件枯燥乏味的事情，但当咱们真正理解了数据背后的含义，则会收获不少。对于计算机方面的较量确定会不断升级，而咱们要作的就是学会利用现有的资源进行深刻，深入的学习。

固然在本次实践中，因为水平的限制，我对于某些概念的理解并无那么透彻，这就须要我继续努力。