Exp4 系统动态监控 20155113徐步桥

Exp3 系统动态监控

---

1. 实践目标

• 1.1是监控你本身系统的运行状态，看有没有可疑的程序在运行。

• 1.2是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件。

• 1.3假定未来工做中你以为本身的主机有问题，就能够用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

---

2. 实验原理

2.1 恶意软件会作什么

• 创建链接
• 创建进程
• 建立文件
• 修改内存
• 修改注册表项。。。

2.2 系统动态监控软件

• PEID、ExeinfoPE等查壳工具内先查壳，经过入口特征和区段特征来识别，而后脱壳。
• TCPView、Wireshark等网络工具查看是否存在可疑链接
• Systracer拍摄快照，比对先后区别，分析改变的注册表及文件等信息。

3. 实验步骤

3.1 简单网络监控

• 在Windows下打开powershell，输入一下指令便可查看当前网络链接状态。
  

netstat -bn

• 该指令须要管理员权限才能运行。
• 下面让咱们来使用计划任务来运行这个命令，首先建立批处理文件。具体一点的：建立记事本，输入如下指令：

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

• 将记事本重命名为***.bat文件并另存到好找的目录下。
• 打开计划任务，设置触发器为每五分钟启动一次，无限循环，设置操做为启动脚本，在对话框打开刚刚建立的.bat文件便可。（PS：可能须要设置以最高权限运行）

• 设置完毕后就是等待啦，过不了多久就会收获满满。

• 而后咱们作一个尝试，作一个后门程序反弹链接，能够看到，在捕获的链接状态中清楚的体现了出来。

3.2 sysmon监控日志

• emmmm这玩意装了很久...这里简单介绍一下艰辛的安装历程，首先下载安装程序、建立配置文件，用++管理员身份++（敲黑板！！！）打开命令行，在正确目录下输入

sysmon.exe -i config_file_name

• 通常来讲就OK了。装的时候弹出这个窗口。

• 装好以后在运行中输入eventvwr，打开日志，在日志目录中循着Microsoft->Windows->Sysmon->Operational打开日志就能够啦。

• 从右侧“筛选日志”能够输入事件ID筛选事件，能够看出，大多数的网络链接都是360建立的...
  
  
  

• 进程建立以下

• 文件建立以下

• 也有例外

• svchost.exe是一个属于微软Windows操做系统的系统程序，微软官方对它的解释是：Svchost.exe 是从动态连接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是很是重要，并且是不能被结束的。许多服务经过注入到该程序中启动，因此会有多个进程。（行吧，你说是啥就是啥）。

• 来源为搜狗的进程不放心，查一查IP
  

• 貌似没毛病。

• 下面开始模拟检测，仍是同样的套路，作一个后门，反向链接，再截个屏。结果以下

• 简单归纳一下在我作截屏操做时日志记录下了什么：创建进程->链接主机->建立文件->穿透防火墙！

3.3 wirsharke抓包分析

• wireshark是一个强大的抓包软件，强大到啥包都抓，因此在分析以前须要过滤好IP地址，如下是我推荐使用的过滤条件：

no arp and !(udp.port==53) and ip.addr==主机1地址 and ip.addr==主机2地址

• 上面这句话的意思就是过滤掉ARP包和DNS重定向包，仅仅留下双方地址为主机1和主机2地址的数据。

• 打开后门，反向链接，能够看到，本来空空的数据栏被瞬间填满，除了一开始创建TCP链接时的SYN请求包外几乎所有是ACK响应包。并且有来有回，我的猜想veil生成的后门程序就是利用这样的ACK响应包传送数据！下面咱们来验证试试。

• 作截屏、照相、输出击键这三件事。
  

• 能够看到，截屏的数据传到攻击机上时，数据从双方的有来有回变成了一方疯狂ACK，并且数据量不小，应该就是在这些ACK包中将一个图片分解传递过去。
  

• 照相以后也是同样，单边数据流量激增。下面咱们来定量测试一下，根据包的数据大小算一算是否是吻合。结果以下：

• 个人天！！！这毫不是个巧合！！！
• 既然肯定了信息就藏在这些包中，那咱们进一步尝试，看看能不能找出数据的蛛丝马迹来，咱们键入12345678901234567890，抓包看看。

• 惋惜，数据包里的数据很杂乱，虽然出现了咱们想要的通信流量增长的现象，可是并不能读出什么来。果真低层的数据包很难懂。
• 不过，能够得出一些结论：
• 1 正常的wireshark抓包是不会出现单方面从本身主机上疯狂上传数据的，若是不是本人操做，那么颇有可能有问题！
• 2 veil的后门程序一旦创建了tcp链接就不会主动退出链接，反而是在以不断的ACK响应包来维持与受害主机的通信，如此大的通讯流量是很容易发现的，这一点若是能够在感染之初及时注意应该能够减小损失。
• 3 veil的后门程序是将想要盗取的信息拆分红ACK应答包借此躲过杀软和防火墙的围追堵截，仍是很隐秘的。

3.4 process explorer监控表

• process explorer是一种详尽的系统进程监控软件，足够把全部的在执行的后门监测出来，这里咱们先简单看一看正常状态下的进程状况。

• 接着咱们作一个后门进行测试（注意，这里最好使用管理员权限打开后门软件，否则可能会迁移进程的时候出问题），回连成功后，能够看到多出了一个进程。
  

• 咱们继续，迁移进程至搜狗云进程中...迁移成功。

• 而后咱们立刻回去看监控表，发现空空如也。
  

• 打开响应的进程，咱们发现这个进程下有很多的线程，哪个使咱们迁移过去的呢？

• 有一个方法——结束咱们怀疑的线程，若是链接中断，那么那个线程必定就是咱们要找的。
• 猜一个吧，干掉

• 回去看看链接状态，中断了。这一点也验证了咱们的猜测。转移的进程就藏在这些表面正常的进程中。
• 由此我有这样几个感想：
• 1 对于后门程序来讲，进程迁移很是的重要，若是不迁移那么那个后门的进程就傻傻的放在那里，太招摇了。一旦迁移就会变得隐秘的多。
• 2 进程在迁移后几乎没有什么迹象可以判断出到底哪个是创建链接的进程，
• 3 改变后门的通讯行为很重要，由于我作了几遍这个实验发现全部的后门程序在拷贝进主机以后几乎都没有报毒，可是一旦启动就会被直接干掉，可能直接从上面咱们分析看到的现象那样，大量tcp数据包引发了杀软的注意，因此能够采用隧道加密等方式下降报毒率。而对作实验的童鞋们也提个醒，这个实验成功的一个关键就是快，尽快回连，尽快转移进程，尽快截图，否则可能作着作着链接就中断了...

---

4. 实验感想

• 1 如今的入侵技术愈来愈发达，杀软每每起不到做用，可是恶意软件万变不离其中，只要想在咱们的电脑上偷东西，就必定要从网络上走，就必定会留下痕迹，就必定会被抓住。最了解本身机器的仍是本身，提升防范意识，养成良好习惯。闲的没事能够看看防御日志，监测一下流量，可能比杀毒软件跑半天更让人安心。
• 2 就监测效果而言，仍是动态的监测效果更好，毕竟静态的特征匹配如今可能已经有不少的方法去应对，可是就动态监测而言，一个后门想作的事情必然经过那些固定的套路去实现，一旦发现规律仍是很好抓的。
• 3 就进攻而言，不只要注意后门代码的假装，更要注意进程和通讯过程的隐藏，也就是尽量的假装成一个正常的软件，作正常的事情，这样才能下降报毒率。