20155207王雪纯《网络对抗》Exp4 恶意代码分析

时间 2019-12-07

标签网络对抗 exp4 exp 恶意代码分析栏目系统网络繁體版

原文原文链接

20155207 《网络对抗》恶意代码分析学习总结

1.是监控你本身系统的运行状态，看有没有可疑的程序在运行。linux

2.是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽可能使用原生指令或sysinternals,systracer套件。shell

3.假定未来工做中你以为本身的主机有问题，就能够用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。网络

（1）使用如计划任务，每隔一分钟记录本身的电脑有哪些程序在联网，链接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出全部连网的程序，连了哪里，大约干了什么(不抓包的状况下只能猜)，你以为它这么干合适不。若是想进一步分析的，能够有针对性的抓包。tcp

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控本身主机的重点事可疑行为。工具

参考：schtask与sysmon应用指导学习

实际日志的分析还须要发挥下本身的创造力，结合之前学过的知识如linux的文本处理指令等进行。分析的难点在于从大量数据中理出规律、找出问题。这都依赖对结果过滤、统计、分类等进一步处理，这就得你们会什么用什么了。设计

分析该软件在(1)启动回连，(2)安装到目标机(3)及其余任意操做时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件3d

（3）读取、添加、删除了哪些注册表项日志

（4）读取、添加、删除了哪些文件code

（5）链接了哪些外部IP，传输了什么数据（抓包分析）

对比最后两次快照时，有了意外收获，最初是发现端口有变化，但是以为奇怪，此时并无从新建立网络链接，并且个人木马也没有用到80端口，怎么可能80端口有变化
p10
后来发现是百度云在我没有启动它的时候本身在后台干一些小勾当，偷偷联网，鉴于百度云有自动备份的功能，我猜想他有可能在偷偷上传我电脑里新增的数据，好可怕，我并无让他帮我备份啊。。。不再敢再电脑里放不可告人的小秘密了。。。

实践过程记录

静态分析
具体原理主要就是利用特征码进行检测，可是根据上周的实验结果看出，检测能力不够强，仍是须要对恶意代码的行为进行动态监测

动态分析

systracer
对靶机初始状态保存快照Snapshot #1
传输后门文件并保存快照为Snapshot #2
成功回连，保存快照Snapshot #3
对比2 3两次快照，新增了进程文件还创立了网络链接，这就很可疑了，暴露了木马的通常行为
得到靶机的shell,保存快照Snapshot #4
对比两个快照，有新增的进程

捕获靶机与攻击机之间的通信
发现回连kali的一瞬间，靶机和攻击机之间创建了好多通讯，分析其中一个数据包、
源IP是靶机IP，目的IP和Kali的IP并不一致，这是由于虚拟机进行网络通信要经过NAT方式，要通过一个地址池随机分配一个用于网络链接的IP，这里就是这个IP
目的端口就是咱们预先设计好的443端口
可是发现靶机用于网络链接的端口一直在变，彷佛是不一样的服务在用不一样的端口？这里不是很清楚

TCPView
使用TCPView查看回连Kali先后的网络链接状况
后门程序开启了7960端口，回连目标主机，又预设目标主机的监听端口是443，因此假装成了HTTPS链接

使用netstat命令设置任务计划，每隔一段时间反馈
建立任务，并新建触发器
在C盘下创建155207_virus文件夹，并新建脚本文件
建立任务完成后，运行病毒大魔王程序
以管理员权限运行netstatlog.bat，查看netstatlog.txt文件