20145312《网络对抗》Exp4 恶意代码分析

20145312《网络对抗》Exp4 恶意代码分析

问题回答

1.总结一下监控一个系统一般须要监控什么、用什么来监控。

• 监控一个系统一般须要监控这个系统的注册表，进程，开放端口，程序服务还有文件的添加和删除状况等。
• 使用一些软件好比本次实验用到sysmon、SysTracer v2.10等工具读取系统的注册表，进程表等信息来实现实时监测。

2.若是在工做中怀疑一台主机上有恶意代码，请设计下你准备如何找到对应进程、恶意代码相关文件。

• 先对当前状况快照，而后重启计算机，对计算机的注册表，进程，端口，服务等内容进行检测，经过观察注册表，进程等内容的变化筛选出可疑的对象，而后针对可疑的对象使用抓包工具具体分析，看看有没有链接未知IP地址等的可疑操做，分析数据包是否有可疑内容。找到该程序后能够经过VirScan网站的行为分析、PE explorer、PEiD等工具来分析其行为、编译信息等以此来判断其是否为恶意代码。

实验总结与体会

• 本次实验咱们用多个工具静态或动态分析了恶意代码的行为或操做，分析了系统的联网状况等。有很强的实践意义，在从此使用计算机遇到疑似恶意代码，咱们能够经过经过VirScan网站的行为分析、PE explorer、PEiD等工具来分析其行为、编译信息等以此来判断其是否为恶意代码。同时咱们也要常常保存系统快照，发生异常状况时能够有个比对。

实践过程记录

经过VirScan网站的行为分析来分析恶意代码

• 上传以前实验生成的后门程序到VirScan网站，扫描后生成行为分析表
  
• 能够看到VirScan网站分析出该后门程序有创建一个指定的套接字链接，删除注册表键，删除注册表键值，检测自身是否被调试，建立事件对象等行为。可是蔡野同窗的博客经过对比两次的后门程序（前者是不能免杀的，后者是能够免杀的）分别分析后，发现可免杀的没有检测出具体行为，可见只经过网站对恶意代码进行分析是不够的。

使用分析软件动态分析

PE explorer

• 使用这个软件打开后门程序NewShellcode-5312.exe查看一些基本信息和导入导出表等：
  
• 查看程序头文件信息，能够看到程序节头的信息和一些指向操做信息
  
• 能够看到程序引入了哪些dll
  
• 经过反汇编指令去反汇编程序，获得一个大体的程序汇编语言：
  

PEiD

• 使用PEiD查壳，能够看到壳和编译器信息为Visual C++ 8.0[Debug]
  

Sysinternals工具集

• Windows Ssinternals工具集，是微软发布的一套很是强大的免费工具程序集。

TCPview工具

• TCPview能够查看系统中的TCP链接的进程
  
• 能够看到百度拼音，explorer，湖南TV创建了不少TCP链接，从中能够看到目的ip和端口等信息。

sysmon工具

• 安装sysmon，参考http://www.freebuf.com/sectool/122779.html上面的模板来配置sysmon，但将模版第一行的版本号改成3.10。
  

• 可使用sysmon -c查看配置：
  

• 进入事件查看器查找日志，而后进入sysmon日志查看信息。
  
• 主要有一下几个应用程序的服务日志
  
• backgroundTaskHost进程属于照片应用的进程，CPU占用达到了很高的比率。
  
• 又是百度拼音
  
• Searchfilterhost.exe进程，大量占用系统的CPU和内存资源，它的做用是在搜索文件时提供服务。
  

• QQ软件管理守护程序了，基本上是安全的。

SysTracer v2.10

• 点击进入后咱们默认选择扫描全部，点击start等待快照完成便可。

在正常状况下，咱们在win7虚拟机下快照保存为Snapshot #5312-1；
Kali生成相应的后门，将文件经过ncat传到win7虚拟机下后快照保存为Snapshot #5312-2；
Kali开启msf监听，在win7下运行后门程序后快照保存为Snapshot #5312-3；
Kali对win7虚拟机进行截图后，在win7下快照保存为Snapshot #5312-4；

• Snapshot #5312-1与Snapshot #5312-2比较

• 传输文件事后注册表发生变化；C盘新增了咱们传输的文件：
  
  

• Snapshot #5312-2与Snapshot #5312-3比较
• Kali回连成功后，能够看到运行的程序中多了NewShellcode-5312.exe，以及它的开放端口和服务
  
• Snapshot #5312-3与Snapshot #5312-4比较

• 截屏后，注册表信息又发生变化
  

wireshark捕包分析

• 捕捉win 10主机与Kali的通讯数据信息：
• Kali的IP地址：192.168.169.128
• Win10在以太网适配器 VMware Network Adapter VMnet8中的IP：192.168.137.1
• 使用nc传输数据
  
• 使用wireshark捕捉到TCP会话
  
  
  
• 能够看到明文通讯内容：hi、hello、im 20145312，以及端口5312和源/目的IP地址等信息

计划任务并记录联网行为

• 新建触发器
  
• 建立完成，咱们运行这个任务，发现5312下出现咱们的txt文件，可是没有显示出咱们想要的网络链接记录信息，而是：请求的操做须要提高，右键netstat5312.bat，点击管理员权限运行，即成功。