20145229吴姗珊 《网络对抗技术》 恶意代码分析

20145229吴姗珊 《网络对抗技术》 恶意代码分析

相关知识

基础问题

(1)若是在工做中怀疑一台主机上有恶意代码,但只是猜测,全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些,用什么方法来监控。windows

  • 由wireshark捕包总结能够经过对流量,端口开放进行监控,由于恶意代码很重要的就是它会运用网络资源进行一些数据传输,因此对流量的监控是很是有必要的
  • 经过以前的静态分析总结而来咱们能够对注册表是否增删修改,日志信息是否有异常进程入手进行监控
  • 经过PE explore能够看到文件的头信息,节头,数据目录,能够从导入库中分析是不是恶意代码

(2)若是已经肯定是某个程序或进程有问题,你有什么工具能够进一步获得它的哪些信息。api

  • 首先能够去http://www.virscan.org上进行扫描,有一个文件行为分析,能够看个大概
  • 用PEID查看是否加壳
  • 用systracer能够进行快照,而后对比哪里发生变化进而进行研究
  • 用wireshark进行流量抓包观察其程序动向

实验体会

此次的实验主要是利用以前生成的后门程序,用各类软件进行静态动态分析,在我看来最有趣的地方就是我知道它是一个后门程序,我用各类工具从注册表,是否加壳等方面入手,了解了它是怎样对个人电脑进行破坏的,虽然对电脑真的肉疼,可是过程仍是颇有意思的,以为本身在剖析一个攻击者的手法,比较偏向于实际应用,引导咱们一步步去发现谁是恶意代码,恶意代码是如何暴露了本身,过程颇有趣。
好的说一点其余的问题,电脑要哭了!!天天都不给开防火墙不给杀软,天天都给它开后门!!太卡了!!因此后面的一些实验都是用手机拍图,但愿不要介意,电脑太卡安全

基础知识

恶意代码

  • 恶意代码(Unwanted Code)是指没有做用却会带来危险的代码,一个最安全的定义是把全部没必要要的代码都看做是恶意的,没必要要代码比恶意代码具备更宽泛的含义,包括全部可能与某个组织安全策略相冲突的软件。
  • 恶意代码又称恶意软件。这些软件也可称为广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)。是指在未明确提示用户或未经用户许可的状况下,在用户计算机或其余终端上安装运行,侵犯用户合法权益的软件。与病毒或蠕虫不一样,这些软件不少不是小团体或者我的秘密地编写和散播,反而有不少知名企业和团体涉嫌此类软件。有时也称做流氓软件。

恶意代码分析

  • 静态分析基础技术(计算程序MD5值,检索M5值获取信息/查看可疑代码资源节获取特征)
  • 动态分析基础技术(配置“沙箱”环境/Dll类型文件的启动运行)
  • 本次分析的为msf生成的后门软件,就是实验二里生成的,当时删掉了因此从新生成了一个ss5229.exe
    网络

  • 静态分析
    1.特征库比对,将ss5229.exe提交至http://www.virscan.org进行分析,以下图所示

    被20个杀软检测出来了,很明显是恶意软件,接下来查看具体行为分析
    工具

  • 分析:
    如图,经过加壳,删除注册表,建立套接字链接,检测自身是否被调试均可以分析得出是一个恶意软件操作系统

2.查看PE文件头中包含的代码信息设计

  • 进入PE后打开ss5229.exe,查看了文件头信息,节头,数据目录,以及引入的库


分析:3d

  • 前面两个也没看出啥东西来,百度也没什么问题,百度了无数次发现了引入的库有问题
  • 以下图,advapi32.dll跟注册表操做有关,这就很尴尬了,至少有风险
  • wsock32.dll,Windows Sockets应用程序接口,建立链接危险
  • advapi32.dll也牵涉到注册表的操做,日志的修改,因此也是高危引用库
  • 前面两个.dll库没有大问题,msvcrt.dll是微软在windows操做系统中提供的C语言运行库执行文件;kernel32.dll是Windows 9x/Me中很是重要的32位动态连接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操做和中断处理调试

  • PEiD
    使用PEiD来分析咱们的ss5229.exe是否加壳或者用什么编译的

    经过上图咱们看到它啥都没有查出来,这很尴尬,经过百度说它啥编译器的问题,那咱们从另外一个角度入手,反汇编,以下图
    日志

  • 动态分析
    1.SysTracer进行分析
  • 首先在kali中进行监听,保存为Snapshot #1,听同窗说她快照照了20秒就结束了,反正我如今照了15分钟了还没结束,呵呵呵

    好的,通过了17分钟终于结束
  • 如今点击ss5229.exe进行回连,成功后进行Snapshot #2 ,就不进行截图了,电脑真的太卡了,待会附对比图
  • 如今对靶机进行截图,而后进行快照Snapshot #3
  • 完成了全部的快照,接下来进行对比,1和2对比很明显的有ss5229.exe
  • 对比2,3的注册表以及程序,明显有了删除的痕迹,踪影很是明显

2.wireshark流量捕包

  • 在kali和靶机之间进行通讯时,咱们使用wireshark来捕包进行数据分析
    kali ip:192.168.222.128 主机ip:192.168.2.123
  • 如图所示咱们捕获到了大量的三次握手的包(因为截图来回太卡了因此用手机拍了,不是特别清晰)
  • 当我这边已经回连成功进行截频的时候,wireshark捕到大量包

3.任务计划(电脑太卡了截图工具崩了!!!因此拍照了!!)

  • 进入计算机/管理/任务计划,而后建立新的任务计划,命名netstat5229,触发器设置为5分钟执行一次
  • c盘下建立文件夹5229,编写脚本为netstat5229.txt,保存后后缀改成bat
  • 将任务计划操做设为咱们的netstat5229.bat,参数为 >>c:\5229\netstat5229.txt
  • 运行任务生成5229.txt
  • 而后咱们就能够看txt里面的东西了,上面就是说我没有权限而后啥都不给我看,而后看有些同窗的博客就说在新建任务那里点最高权限就能够,天哪噜我设置了仍是没有权限,因此我打开了百度!!要右键点击管理员权限!!没有权限的朋友让我看到大家的双手,因此怎么说呢,遇到问题仍是得本身解决,毕竟每一个人电脑不同遇到的问题不同因此要独立思考呀

  • 说到解决问题的方面,好多同窗用的NAT模式可是有的时候虚拟机崩了而后它就没有ip了!!!提供一个解决的方法,请点击你电脑里服务,查看VMWARE那几个有没有运行,而后你手动运行通常就解决了没有ip的问题,都不用重启!很是方便!

4.sysmon

  • 安装的地方最重要的就是管理员权限的问题,使用右键在菜单里选择管理员权限
  • 而后输入命令,后配置xml,而后跳出来错误,黑人问号,百度了好多,翻遍了同窗的博客都没有获得解决
相关文章
相关标签/搜索