20145229吴姗珊 《网络对抗技术》 恶意代码分析

20145229吴姗珊 《网络对抗技术》 恶意代码分析

相关知识

基础问题

（1）若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

• 由wireshark捕包总结能够经过对流量，端口开放进行监控，由于恶意代码很重要的就是它会运用网络资源进行一些数据传输，因此对流量的监控是很是有必要的
• 经过以前的静态分析总结而来咱们能够对注册表是否增删修改，日志信息是否有异常进程入手进行监控
• 经过PE explore能够看到文件的头信息，节头，数据目录，能够从导入库中分析是不是恶意代码

（2）若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

• 首先能够去http://www.virscan.org上进行扫描，有一个文件行为分析，能够看个大概
• 用PEID查看是否加壳
• 用systracer能够进行快照，而后对比哪里发生变化进而进行研究
• 用wireshark进行流量抓包观察其程序动向

实验体会

此次的实验主要是利用以前生成的后门程序，用各类软件进行静态动态分析，在我看来最有趣的地方就是我知道它是一个后门程序，我用各类工具从注册表，是否加壳等方面入手，了解了它是怎样对个人电脑进行破坏的，虽然对电脑真的肉疼，可是过程仍是颇有意思的，以为本身在剖析一个攻击者的手法，比较偏向于实际应用，引导咱们一步步去发现谁是恶意代码，恶意代码是如何暴露了本身，过程颇有趣。
好的说一点其余的问题，电脑要哭了！！天天都不给开防火墙不给杀软，天天都给它开后门！！太卡了！！因此后面的一些实验都是用手机拍图，但愿不要介意，电脑太卡

基础知识

恶意代码

• 恶意代码（Unwanted Code）是指没有做用却会带来危险的代码，一个最安全的定义是把全部没必要要的代码都看做是恶意的，没必要要代码比恶意代码具备更宽泛的含义，包括全部可能与某个组织安全策略相冲突的软件。
• 恶意代码又称恶意软件。这些软件也可称为广告软件（adware）、间谍软件（spyware）、恶意共享软件（malicious shareware）。是指在未明确提示用户或未经用户许可的状况下，在用户计算机或其余终端上安装运行，侵犯用户合法权益的软件。与病毒或蠕虫不一样，这些软件不少不是小团体或者我的秘密地编写和散播，反而有不少知名企业和团体涉嫌此类软件。有时也称做流氓软件。

恶意代码分析

• 静态分析基础技术（计算程序MD5值，检索M5值获取信息/查看可疑代码资源节获取特征）
• 动态分析基础技术（配置“沙箱”环境/Dll类型文件的启动运行）

• 本次分析的为msf生成的后门软件，就是实验二里生成的，当时删掉了因此从新生成了一个ss5229.exe
  

• 静态分析
  1.特征库比对，将ss5229.exe提交至http://www.virscan.org进行分析，以下图所示
  
  被20个杀软检测出来了，很明显是恶意软件，接下来查看具体行为分析
  

• 分析：
  如图，经过加壳，删除注册表，建立套接字链接，检测自身是否被调试均可以分析得出是一个恶意软件

2.查看PE文件头中包含的代码信息

• 进入PE后打开ss5229.exe，查看了文件头信息，节头，数据目录，以及引入的库
  

分析：

• 前面两个也没看出啥东西来，百度也没什么问题，百度了无数次发现了引入的库有问题
  
• 以下图，advapi32.dll跟注册表操做有关，这就很尴尬了，至少有风险
  
• wsock32.dll，Windows Sockets应用程序接口，建立链接危险
  
• advapi32.dll也牵涉到注册表的操做，日志的修改，因此也是高危引用库

• 前面两个.dll库没有大问题，msvcrt.dll是微软在windows操做系统中提供的C语言运行库执行文件;kernel32.dll是Windows 9x/Me中很是重要的32位动态连接库文件，属于内核级文件。它控制着系统的内存管理、数据的输入输出操做和中断处理

• PEiD
  使用PEiD来分析咱们的ss5229.exe是否加壳或者用什么编译的
  
  经过上图咱们看到它啥都没有查出来，这很尴尬，经过百度说它啥编译器的问题，那咱们从另外一个角度入手，反汇编，以下图
  

• 动态分析
  1.SysTracer进行分析
• 首先在kali中进行监听，保存为Snapshot #1,听同窗说她快照照了20秒就结束了，反正我如今照了15分钟了还没结束，呵呵呵
  
  好的，通过了17分钟终于结束
  
• 如今点击ss5229.exe进行回连，成功后进行Snapshot #2 ,就不进行截图了，电脑真的太卡了，待会附对比图
• 如今对靶机进行截图，而后进行快照Snapshot #3
• 完成了全部的快照，接下来进行对比，1和2对比很明显的有ss5229.exe
  

• 对比2,3的注册表以及程序，明显有了删除的痕迹，踪影很是明显
  

2.wireshark流量捕包

• 在kali和靶机之间进行通讯时，咱们使用wireshark来捕包进行数据分析
  kali ip:192.168.222.128 主机ip：192.168.2.123
• 如图所示咱们捕获到了大量的三次握手的包（因为截图来回太卡了因此用手机拍了，不是特别清晰）
  
• 当我这边已经回连成功进行截频的时候，wireshark捕到大量包
  

3.任务计划（电脑太卡了截图工具崩了！！！因此拍照了！！）

• 进入计算机/管理/任务计划，而后建立新的任务计划，命名netstat5229，触发器设置为5分钟执行一次
  
• c盘下建立文件夹5229，编写脚本为netstat5229.txt,保存后后缀改成bat
  
• 将任务计划操做设为咱们的netstat5229.bat，参数为 >>c:\5229\netstat5229.txt
  
• 运行任务生成5229.txt
  

• 而后咱们就能够看txt里面的东西了，上面就是说我没有权限而后啥都不给我看，而后看有些同窗的博客就说在新建任务那里点最高权限就能够，天哪噜我设置了仍是没有权限，因此我打开了百度！！要右键点击管理员权限！！没有权限的朋友让我看到大家的双手，因此怎么说呢，遇到问题仍是得本身解决，毕竟每一个人电脑不同遇到的问题不同因此要独立思考呀
  

• 说到解决问题的方面，好多同窗用的NAT模式可是有的时候虚拟机崩了而后它就没有ip了！！！提供一个解决的方法，请点击你电脑里服务，查看VMWARE那几个有没有运行，而后你手动运行通常就解决了没有ip的问题，都不用重启！很是方便！
  

4.sysmon

• 安装的地方最重要的就是管理员权限的问题，使用右键在菜单里选择管理员权限
  
• 而后输入命令，后配置xml，而后跳出来错误，黑人问号，百度了好多，翻遍了同窗的博客都没有获得解决