网络对抗 Exp4 恶意代码分析 20154321 何思影

Exp4 恶意代码分析

1、实践目标

1.监控本身系统的运行状态，看有没有可疑的程序在运行。

2.分析一个恶意软件，分析Exp2或Exp3中生成后门软件。

2、实践步骤

1.系统运行监控

使用 netstat 定时监控

首先建立一个txt文件，用来将记录的联网结果按格式输出到netstatlog.txt文件中，内容为：

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

更改后缀名为bat（批处理文件），右键开始菜单打开命令提示符（管理员模式，否则权限不够）输入指令 schtasks /create /TN 20154321 /sc MINUTE /MO 2 /TR "c:\20154321.bat（上面建立的文件） 建立间隔2分钟的计划任务。

 

 

过一段时间等收集到足够多的数据后，建立一个excel在数据选项卡中选择导入数据，选中保存的netstatlog.txt文件，设置使用 分隔符号 ，并勾选所有分隔符号。

单击数据透视表，选中进程那一列，建立到新的工做表中，把字段拉到行和值中，选为计数，就获得各进程的活动数了

再看看外部网络链接

相比进程多了好多，应该是浏览器浏览不一样地址形成的。

 

使用 sysmon 工具监控

首先配置sysmon，建立一个txt文件，输入配置信息，可根据需求增添删改。

管理员模式运行cmd，用cd指令转到sysmon目录，输入指令 sysmon.exe -i 20154321.txt（若是配置文件与sysmon.exe不在同一目录，须要输入配置文件的目录），跳出安装窗口后赞成完成安装。

启动sysmon以后能够在 右键个人电脑——管理——事件查看器——应用程序和服务日志——Microsoft——Windows——Sysmon——Operational 查看日志文件。

找到了我本身启动本身制做的后门文件

2.恶意代码分析

使用virscan分析恶意软件

在virscan网站上对上次实验中C语言调用shellcode直接编译的后门文件作行为分析

能够看到攻击方主机的部分IP及端口号，且说明了有删除注册表键和键值、检测自身是否被调试以及建立事件对象的行为。

使用SysTracer分析恶意软件

首先下载，安装很简单虽然是英文版，以后捕获快照。
点击take snapshot来快照，创建4个快照，分别为：
snapshot#1 后门程序启动前，系统正常状态
snapshot#2 启动后门回连Linux
snapshot#3 Linux控制windows查询目录
snapshot#4 Linux控制windows在桌面建立一个路径

对比前，咱们先看下他的规则

先对比下1，2两种状况：

能够看到打开后门后修改了以上两项注册表的内容，在应用（Application）——打开端口（Opened Ports）中能看到后门程序回连的IP和端口号。

对比3，4状况：

使用Process Monitor分析恶意软件

 启动后会抓到很是多的进程数据，能够点出工具——进程树便利查看，多了堆栈信息

能看出后门程序运行起来后确实与explorer.exe有很大的关系

在进程树中找到后门进程右键转到事件，能够在主窗口中找到程序，能直接看到回连的IP地址和端口号

使用Process Explorer分析恶意软件

 打开process explorer后，接着运行后门程序回连，发现个人后门程序以紫色高亮身份显示

三·基础问题

1.若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

应当首先更新病毒库，并对敏感怀疑位置进行病毒查杀，若是没有找到，应该开启相关病毒扫描引擎，对计算机进行动态扫描，监控主机链接状况，统计结果后找出可疑的Ip地址和端口号，可对这些ip和端口进行有针对性的抓包，查看有无创建套接字等可疑的行为、查看有无可疑的传输内容等，还能够经过systracer等查看注册表、进程等的变化。

2.若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

使用systracer，在打开进程先后分别takeshot，对比先后两张快照课获得进程有哪些行为。

4、实验体会

此次实验用到的软件比较多，了解到了不少监听电脑的程序，这对我来讲仍是比较好奇的，整体来说这些软件对咱们本身电脑的安全来讲仍是颇有帮助的。关于查实验时的问题，我会进一步注意。尽最大努力去学，进可能弄懂更多的问题，能学到更多的东西也觉莫大的宽慰.