Exp4 恶意代码分析 20154328 常城

Exp4 恶意代码分析

1、实践内容

1. 系统运行监控

• 使用如计划任务，每隔一分钟记录本身的电脑有哪些程序在联网，链接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出全部连网的程序，连了哪里，大约干了什么(不抓包的状况下只能猜)，你以为它这么干合适不。若是想进一步分析的，能够有针对性的抓包。

• 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控本身主机的重点事可疑行为。

  2. 恶意软件分析

• 分析软件在启动回连时
• 分析软件安装到目标机时

• 分析软件的其任意操做

  2、基础问题

1. 若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

   答：个恶意代码最终是要进行数据传输的，一旦进行了网络数据的传输，那么必定会留下日志。这些日志，是能够被咱们所监视到。
   能够先使用sysmono，进行网络数据传输的监控，发现有问题的传输数据。可使用wireshark抓包分析，分析网络链接状态；查看软件注册表信息；使用SysTracer等软件查看一段时间内系统注册表信息文件标化状况，将这些信息录入excel分析。

2. 若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。
   答：systracer能够用来作行为的差别分析动态分析注册表修改状况，分析缘由，这样作的目的，查看文件修改状况和端口状况并分析缘由；peid能够用来看这个软件是否加壳等；procmon和processexplore均可以用来分析这个软件的内容、链接等等

   3、实验过程

   ##### 1. 系统运行监控

   Windows计划任务schtasks

• 为实现每2min记录下有哪些程序在链接网络，输入如下命令：

  schtasks /create /TN 20154328netstat /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

• 释义：TN是TaskName的缩写，咱们建立的计划任务名是20154301netstat；sc表示计时方式，咱们以分钟计时填MINUTE；TR=Task Run，要运行的指令是 netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口,MO 表示隔两分钟进行一次。
  

• 此命令完成后，每五分钟就会监测哪些程序在使用网络，并把结果记录在netstatlog.txt文档里，可是不显示记录的时间和日期，这可能不便于咱们判断，要是想显示日期和时间，咱们能够经过bat批处理文件来实现。

• 在C盘要目录下建一个文件c:\netstatlog.bat（先把后缀设为txt，保存好内容后把后缀改成bat）

• 打开控制面板->任务计划程序，找到咱们的任务20154328netstat
  

• 双击点开，找到操做，点击全部项里的属性选项：

• 能够对任务进行修改：找到操做选项卡，选择netstatlog.bat脚本。

• 修改为功后，显示：

• 能够看到记录文件netstatlog.txt中的记录有了时间：
  

• 接下来咱们要作的就是等待，等记录项目够多了再进行分析。
  

Sysmon

• 明确监控目标

  网络链接、驱动加载、远程线程建立、进程建立、访问和结束等

• sysmon 微软Sysinternals套件中的一个工具，能够从码云项目的附件里进行下载，要使用sysmon工具先要配置文件，一开始我直接用的是老师给的配置文件,建立配置文件20154328.txt（注：必定要以管理员身份运行）：
  

• 配置好文件以后，要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令对sysmon进行安装：
  

• 启动以后，即可以到事件查看器里查看相应的日志，在"运行"窗口输入eventvwr命令，打开应用程序和服务日志，根据Microsoft->Windows->Sysmon->Operational路径找到记录文件：
  

• 将后门程序放入windows主机，在Kali下进行回连操做：
  

• 木马极可能假装成电脑自带的explorer.exe进程

• 以后，我对Sysmoncfg.txt配置文件进行了修改，重点是监视80和443以及4328端口的联网状况
  

• 4328端口
  

使用在线沙盘分析恶意软件

• 因为哈勃关闭了普通用户进行行为分析，virscan也调用不了，这里咱们使用两个国外的在线沙盘进行分析。

  Threat Expert：

• 报告能够看到其启动回连主机的部分IP地址以及端口号
  

VirusTotal

• 报告分析出了一堆英文，都看不懂(>_<)
  
  

使用systracer工具分析恶意软件

• 点击take snapshot来快照，四个快照：1.恶意软件启动回连时；2.恶意软件执行dir命令进行查看时；3.恶意软件进行截屏操做时；4.将恶意软件植入到目标主机中后。
  

• 比较一、4，咱们能够看到不少信息，包括IP及端口

  
  
  

联网状况分析

• 在后门程序回连时，在主机的命令行中用netstat -n命令查看TCP链接的状况，能够发现其中有进行回连的后门程序：

• 回连时创建tcp链接
  

• 在后门程序回连时，打开wireshark，进行捕包分析，查看详细的协议分析发现，后门程序创建了三次握手并回连时进行了基于IP和端口的链接
  

Process Monitor

• 打开Process Monitor就能够就看到按时间排序的winxp执行的程序的变化，运行一下后门程序4328.exe，再刷新一下Process Monitor的界面，能够指定查找到程序。
  

PEiD

• PEiD是一个经常使用的的查壳工具，能够分析后门程序是否加了壳。

• 加壳
  

• 不加壳
  

Process Explorer

• 打开Process Explorer，运行后门程序fool20154328.exe，在Process栏能够找到fool20154328.exe
  

• 双击后门程序4328.exe一行，点击不一样的页标签能够查看不一样的信息：

• TCP/IP页签有程序的链接方式、回连IP、端口等信息。
  
  

• Performance页签有程序的CPU、I/O、Handles等相关信息。
  

实验心得体会

• 总的来讲此次实验所使用的不少工具都是之前没有见过没有听过的软件。并且不少都是全英文的，对于英语很差的本身来讲是一个很大的挑战。在实验的过程当中只能边百度这些软件的使用方法，而后结合学长学姐以及班里先作出来的同窗的实验报告来一步一步的作 。
• 之前的实验是咱们来对目标计算机进行攻击，此次咱们扮演防护者。经过各类各样的软件来分析恶意软件。
• 经过前几回实验，以及此次实验，咱们发现不少的时候单纯的杀毒软件已经不能对恶意的软件进行查杀，只有在病毒库的软件它才能够识别出来。这就要求咱们将本次实验的指示结合起来，利用工具对系统进行监控查杀。查看是否存在恶意代码。