20145228《网络对抗技术》恶意代码分析

实验内容

·监控系统的运行状态，看有没有可疑的程序在运行

·分析一个恶意软件，分析工具尽可能使用原生指令或sysinternals,systracer套件。

基础问题回答

（1）若是在工做中怀疑一台主机上有恶意代码，但只是猜测，全部想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些，用什么方法来监控。

•使用Process Explorer工具，监视进程执行状况

•利用 sysmon工具，查看相关日志文件

•在命令行用schtasks指令设置一个计划任务，每隔一段时间记录主机使用状况

（2）若是已经肯定是某个程序或进程有问题，你有什么工具能够进一步获得它的哪些信息。

•wireshark进行抓包

•使用virscan分析恶意软件

实验过程

使用schtasks指令监控系统运行

在C盘建立netstatlog.bat，内容为

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

而后再命令行输入schtasks /create /TN netstat /sc MINUTE /MO 3 /TR "c:\netstatlog.bat"
每一个三分钟记录一次主机联网信息

最后找到netstatlog.txt

经过百度查询，其中XLServicePlatform是迅雷有关服务程序

使用virscan分析恶意软件

·在virscan网站上查看上次实验所作的后门软件的文件行为分析：

文件信息能看到此文件的网络创建套接字以及删除了注册表等行为

使用wireshark分析恶意软件回连状况

此图就能开出三次握手等传输状况：

后面图可看出靶机被获取屏幕截图的信息：

使用Process Explorer分析恶意软件

能够看文件编译时间、连接器版本等信息

点击import：能够查看该文件依赖的dll库

·msvcrt.dll和KERNEL32.dll属于通常程序在win下都会调用的dll库

·advapi32.dll是一个高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关。advapi32.dll是一个高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关。

·WS2_32.dll，是用来建立套接字的dll库

使用systracer工具分析恶意软件

开始创建了4个快照，分别是植入到目标主机中后、恶意软件启动回连时、恶意软件执行ls命令以及恶意软件执行screenshot命令时的状况

而后对比一下，发现注册表变化：

应用程序变化：

这是回连时的链接过程

应用接口变化：

能够看出链接请求

PEiD分析恶意软件

查看恶意软件的壳的相关信息，以及其所使用的编译器版本

实验体会

了解了许多不一样类型的恶意代码分析软件，以及各分析软件的分析优点，面对恶意程序时，灵活应用这些软件能帮助咱们将恶意程序分析得很透彻。知己知彼才能消灭恶意程序。