20154323_胡冰源_Exp4

Exp4 恶意代码分析

1、实践目标

1.监控本身系统的运行状态，看有没有可疑的程序在运行。

2.分析一个恶意软件，分析Exp2或Exp3中生成后门软件。

2、实践步骤

1.系统运行监控

使用 netstat 定时监控

首先建立一个txt文件，用来将记录的联网结果按格式输出到netstatlog.txt文件中，内容为：

date /t >> d:\netstatlog.txt

time /t >> d:\netstatlog.txt

netstat -bn >> d:\netstatlog.txt

 

 

 

 

把它的后缀名改为bat。再移动到d盘。

开启命令提示符

 

 

此时遇到问题：没有操做权限。原来是没有用管理员方式运行。

解决方式：Windows10中在Cortana中输入“命令提示符”进行搜索，右键，管理员方式运行。

输入指令 schtasks /create /TN 20154323 /sc MINUTE /MO 2 /TR "d:\20154323.bat（上面建立的文件） 建立间隔2分钟的计划任务。

 

 

或者在控制面板版—计划任务中建立一个触发器为”按预约计划“，重复间隔本身设定，操做中程序选中上面建立的文件的定时任务。可是我在作时遇到了以下问题：

 

 

思考了许久，问了问同窗，发如今下面能够解决：

 

如图，使用最高权限运行，这个选项必须勾上。

 

 

打开个人netstatlog记事本，能够发现我在今日晚上的链接网络的状况。

 

 

过一段时间等收集到足够多的数据后，建立一个excel

 

 

在数据选项卡中选择导入数据，选中保存的netstatlog.txt文件，设置使用分隔符号 ，并勾选所有分隔符号。

 

单击数据透视表，选中协议那一列，建立到新的工做表中，把字段拉到行和值中，选为计数，就获得各进程的活动数了（把不须要统计的行勾掉。这里要看的是程序，而不是协议）。

 

 

转化为图形，更为直观简洁

 

 

没有可疑的进程，电脑处于安全（由于有QQPCTRAY在工做）。

再看看外部网络链接

 

 

 

应该是浏览器浏览不一样地址形成的。从图表能够看出使用最多的地址。这样能够看见有没有可疑的地址访问。

 

使用 sysmon 工具监控

首先配置sysmon，建立一个txt文件，输入配置信息，可根据我的需求增添删改。

 

 

 

管理员模式运行cmd，用cd指令转到sysmon目录，输入指令 sysmon.exe -i 20154323sys.txt（若是配置文件与sysmon.exe不在同一目录，须要输入配置文件的目录）。

以前我已经作过一次，因此不须要再次安装。

 

 

启动sysmon以后能够在 右键个人电脑——管理——事件查看器——应用程序和服务日志——Microsoft——Windows——Sysmon——Operational 查看日志文件。

 

 

如今开始制做后门文件。用veil

 

 

 

运行，找到了我本身启动本身制做的后门文件

 

从它的特征我并不知道如何断定为后门文件，ParentImage那一栏写的是explorer.exe（不是iexplorer，很容易弄混。而是资源管理器！！）和sysmon自己同样， explorer是不少病毒喜欢假装或感染的对象。

 

除了本身的后门文件外，没有发现其余的可疑进程。高手能够发现本身的电脑上的密码，有的学长学姐好像发现过本身的木马。做为信息安全保密工做的人士，不只仅是工做上，本身私人电脑上也不该该有木马。严谨 ，严防泄密，这是职业素质。

2.恶意代码分析

使用virscan扫描病毒

 

 

 

有的同窗能够看见行为分析，能够看到攻击方主机的部分IP及端口号，且看见了有删除注册表键和键值、检测自身是否被调试以及建立事件对象的行为。可是个人电脑试了不少次都作不出来，至今没有找到解决办法。

使用SysTracer分析恶意软件

使用systracer工具创建4个快照，分别为：

snapshot#1 后门程序启动前，系统正常状态

snapshot#2 启动后门回连Linux

snapshot#3 Linux控制windows在其D盘目录下建立一个文件

 

 

对比一、3两种状况。

 

 

 

能够看到打开后门后修改了注册表的内容。不少地方的注册表都被修改了，有一部分应该是它修改的。注意选择的是“Only Differences”

 

 

 

而后文件比较，发现出现了新增的文件：“hby4323.txt”

 

 

这是为何呢？原来是我在Linux下在Windows上生成了txt文件：编辑效果如图

 

 

果真在个人后门的文件夹中有一个txt文件：

 

 

而后再把后门程序关闭，拍一张快照。发现注册表还有变化，在这期间没有手动运行其余程序，应该是后台在修改注册表。有多是为了擦出痕迹，把修改过的注册表改了回去。

如图：

 

 

使用PEiD分析恶意软件

使用PEiD软件能够查看恶意软件的壳的相关信息，以及其所使用的编译器版本。

 

 

使用Process Monitor分析恶意软件

启动后会抓到很是多的进程数据，能够点出工具——进程树，便利找到我本身的后门程序。

 

 

后门程序运行起来后确实与explorer.exe（资源管理器）有很大的关系

 

 

在进程树中找到后门进程右键转到事件，能够在主窗口中找到程序，能直接看到回连的IP地址和端口号然而此次IP地址没显示，显示为bogon，百度了下说是不应出如今路由表中的地址。

 

 

 

 

在进程信息中的模块里找到 advapi32.dll 百度说是包含函数与对象的安全性、注册表的操控以及与事件日志有关，仍是很重要的一个dll文件，一个无关程序莫名与其挂钩，就很值得引发咱们怀疑。

使用Process Explorer分析恶意软件

 打开process explorer后，接着运行后门程序回连

 

 

双击点开进程，在TCP/IP选项卡中能够看到回连的Linux的IP地址和端口。

 

 

 

使用TCPView工具分析恶意软件

后门运行时直接打开 tcpview 工具，能够直接找到后门进程

 

 

能够直接看到后门程序链接的IP地址及端口号。

3、实验后问题回答

（1）若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

1.能够经过设置定时计划任务，使用 netstat 指令将主机中的网络链接活动迹象都记录下来，逐一筛选。

2.可使用sysmon工具，有选择的编写配置文件，将主机中各个进程的活动记录下来，能更加省时省力。

（2）若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

1.可使用systracer工具，对比进程运行先后，系统中的变化状况，从而得知它的行为活动信息。

2.可使用process explorer工具，查看该进程的网络链接状况，以及线程、执行等信息。

4、实验心得与体会

          此次实验是咱们作过的操做比较简单，可是分析最难的一次实验。咱们经过各类软件进行监控本身的电脑。这是最具备意义的操做，之前都是进行攻击，如今是开始防护，监测咱们的电脑是否处于危险，而不是去研究攻击别人的电脑。此次是“作好事”。咱们采起的办法是先放火再灭火。