20155205 郝博雅 Exp4 恶意代码分析

20155205 郝博雅 Exp4 恶意代码分析

1、实验目标

一、监控你本身系统的运行状态，看有没有可疑的程序在运行。

二、分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件。

三、假定未来工做中你以为本身的主机有问题，就能够用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

2、实验内容

==系统运行监控==

1.使用Windows计划任务schtasks监控系统运行

• 首先一个简单的实现，每x分钟记录一下有哪些程序在链接网络。

schtasks /create /TN netstat /sc MINUTE /MO （x为本身设定的时间） /TR "cmd /c netstat -bn > c:\netstatlog.txt"

• 命令解释：TN：Task Name，本例中是netstat；SC: SChedule type,本例中是MINUTE,以分钟来计时；MO: MOdifier；TR: Task Run，要运行的指令是 netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口。

• 好比我记录每两分钟的信息：

• 在C盘要目录下建一个文件c:\netstatlog.bat（先把后缀设为txt，保存好内容后把后缀改成bat），内容以下：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

• netstatlog.bat文件的做用是将记录的联网结果按格式输出到相同目录下的netstatlog.txt文件中。

• 接下来用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令建立一个任务，记录每隔两分钟计算机的联网状况。这里和以前不一样的是将记录的状况输入到了.bat后缀的文件中～

• 将txt文件中的内容导入excel

由于个人win7是刚装的，以前的卡死了，因此什么东西也没有，本身不联网的话啥都捕捉不到。。。

2.使用Sysmon工具监控系统运行

• 使用老师提供的txt文件内容配置名称为5205.txt的配置文件，进入sysmon所在目录后输入sysmon.exe -i c:\5205.txt指令进行更新。

• 启动以后，即可以到事件查看器里查看相应的日志，在"运行"窗口输入
  eventvwr（多等一下子） 命令打开应用程序和服务日志，并能够根据Microsoft->Windows->Sysmon->Operational路径找到记录文件：

• 在kali上生成后门，放入win里后回连，能够在sysmob看到有关信息

==恶意软件分析==

使用systracer进行分析

• 点击take snapshot，存储三个快照：

1.将后门植入到目标主机中后；

2.后门启动回连时；

3.后门运行时。

• 刚植入时的快照

• 启动回连后的快照，能够看到后门的目标及源ip和端口信息

使用systracer的compare对比快照1和快照2，选中only differences查看不一样

• 能够看到注册表里这些被修改了

• 能够看的只有HKEY_CURRENT_USER里的内容（为啥咧）

• 在文件中多了systracer日志文件

• applications里多了特别多，可见进行回连时执行了不少操做

使用systracer的compare对比快照3和快照2，选中only differences查看不一样

• applications里明显没那么多了，主要是对桌面进行上的内容进行了列举

3、遇到的问题

【第一个小问题】：出现了“拒绝访问”的提示，百度了一下须要单击开始 输入“命令提示符”， 鼠标右键单击相应的搜索结果单击 “以管理员身份运行”。经过这样的方式打开以后cmd会变成这样滴：

【第二个小问题】：运行了好久netstatlog.txt一点内容都没有，后来查看了一下任务条件，发现充电是必需条件。。。。。好吧，接上个人电源。（为以后作实验方即可以直接把这个条件去掉）

4、问题回答与实验感想

（1）若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

答：经过实验我知道可使用Windows计划任务schtasks监控系统运行；在信息系统安全上咱们学到不少黑客攻击均可以调用cmd，所以能够对cmd的运行状态进行监控。

（2）若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

答：sysmon能够获得有关恶意软件的信息有名称，时间，使用协议，源和目的ip等信息；systracer快照也能够对比得出一些有用信息。

• 实验感想：分析分析，就是要从对比中找到不一样从而获取信息。