20165107 網絡對抗技術 Exp4 惡意代碼分析

4.1 基礎問題回答

（1）如果在工作中懷疑一臺主機上有惡意代碼，但只是猜想，所以想監控下系統一天天的到底在干些什么。請設計下你想監控的操作有哪些，用什么方法來監控。

我所了解的有這些：修改了哪些注冊表、創建了哪些進程、占用了哪些端口修改、查看了哪些文件、連接了哪些網絡。

我所知道的監控方法有：可以定時讓主機執行netstat然后分析，發現網絡連接異常、可以利用Sysmon，編寫配置文件，記錄與自己關心的事件有關的系統日志。

（2）如果已經確定是某個程序或進程有問題，你有什么工具可以進一步得到它的哪些信息。

• 利用Wireshark等網絡工具查看是否存在可疑連接
• 利用工具Systracer拍攝快照，比對前后區別，分析改變的注冊表及文件等信息。

4.2 實踐總結與體會

通過本次實驗，我對自己的電腦進行監控，試圖從中找出潛在的惡意代碼，利用各種工具發現了計算機內部存在的漏洞，所實踐的內容豐富收獲頗豐，問題是有時會分辨不出哪些是疑似惡意代碼，日后還要加強這方面學習。

4.3 實驗內容

使用如計劃任務，每隔一分鐘記錄自己的電腦有哪些程序在聯網，連接的外部IP是哪里。運行一段時間并分析該文件，綜述一下分析結果。目標就是找出所有連網的程序，連了哪里，大約干了什么(不抓包的情況下只能猜)，你覺得它這么干合適不。如果想進一步分析的，可以有針對性的抓包。

安裝配置sysinternals里的sysmon工具，設置合理的配置文件，監控自己主機的重點事可疑行為。

惡意軟件分析
分析該軟件在(1)啟動回連，(2)安裝到目標機(3)及其他任意操作時（如進程遷移或抓屏，重要是你感興趣）。該后門軟件

讀取、添加、刪除了哪些注冊表項

讀取、添加、刪除了哪些文件

4.4實驗過程

系統運行監控

（1）使用如計劃任務，每隔一分鐘記錄自己的電腦有哪些程序在聯網，連接的外部IP是哪里。運行一段時間并分析該文件，綜述一下分析結果。目標就是找出所有連網的程序，連了哪里，大約干了什么。

• 使用schtasks指令監控系統

• 使用schtasks /create /TN netstat5107 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstat5107.txt"命令創建計劃任務netstat5107

• 在C盤要目錄下建一個文件c:\netstat5107.bat（可以先在桌面新建txt文本文件，使用記事本寫入后在修改后綴為.bat，復制到C盤中），寫入內容如下：

  date /t >> c:\netstat5107.txttime /t >> c:\netstat5107.txt netstat -bn >> c:\netstat5107.txt
• 在左下角Windows處右鍵打開計算機管理-任務計劃程序，可以看到我們新創建的任務：

雙擊這個任務，點擊操作-編輯，將其中的程序或腳本改為我們創建的netstat5107.bat批處理文件，參數可選項為空，點擊確定。（注意看這里：一定要勾選使用最高權限運行，否則可能導致文件不能自主更新或者記錄里出現權限問題）

還可在條件中設置其他屬性，在電源這里默認操作為只有在計算機使用交流電源時才啟動此任務，那么使用電池電源時就會停止任務，所以若保持默認注意電腦保持開機聯網狀態！

在計算機管理界面對該任務右鍵點擊運行，可在netstat5330.bat目錄下看到一個txt文本文件，打開就可看到每隔一分鐘被輸到這里的聯網數據。

現在我們等待一段時間，讓記錄項目足夠多了我們用excel來進行分析

分析：聯網最多的是vmware，因為我開著虛擬機，其次是SearchUI 經網上查詢是聯想助手的搜索進程。SGTool搜狗輸入法的加速啟動程序有兩個，svchost微軟操作系統的系統文件，LenovoPcManagerService是聯想電腦管家各一次，尚未發現可疑程序或進程。

（2）安裝配置sysinternals里的sysmon工具，設置合理的配置文件，監控自己主機的重點事可疑行為。

Sysmon是微軟Sysinternals套件中的一個工具。可以監控幾乎所有的重要操作，參考

使用輕量級工具Sysmon監視你的系統，開始我們的使用。

基本操作

• 確定要監控的目標：在這里我選擇進程創建、進程創建時間、網絡連接、遠程線程創建
• 寫配置文件
  • 相關事件過濾器選項在這可看到，進程創建ProcessCreate我用到了Image、SourceIp、SourcePort，進程創建時間FileCreateTime我用到了Image，網絡連接NetworkConnect我用了Image、SourceIp、SourcePort，遠程線程創建CreateRemoteThread我用了TargetImage、SourceImage

  • 開始寫與自己想要監控的事件相對應的配置文件，命名為20165107Sysmon.txt，內容如下：（配置文件是xml文件，為了簡單編輯就直接命令為.txt，每次用寫字本打開。

?

啟動sysmon

• 下載老師給的安裝包并解壓：SysinternalsSuite201608
• 右鍵點擊左下角Windows標志，打開Windows PowerShell(管理員)進入管理員命令行，先cd進入工具目錄，在安裝sysmon：.\Sysmon.exe -i C:\20165107Sysmon.txt（因為按老師的指令報錯我將指令改為如上才成功執行）
• 彈出窗口點擊Agree，安裝成功

分析實驗二生成的后門程序20165107_backdoor.exe，按步驟執行到回連

在點擊Sysmon-Operational刷新記錄

?

惡意軟件分析

靜態分析

1、使用VirusTotal分析惡意軟件

• 將exp3中生成的加殼后門在VirusTotal進行掃描

算法庫支持與加殼情況

2、使用PEiD進行外殼檢測

PEiD(PE Identifier)是一款著名的查殼工具，其功能強大，幾乎可以偵測出所有的殼，其數量已超過470 種PE 文檔 的加殼類型和簽名

• 虛擬機win7中下載后點.exe安裝（別安裝捆綁軟件！）

點擊右下角>>查看詳細信息

若沒有加殼則顯示

PEiD還可進行脫殼

• 下面是通用脫殼器

?

動態分析

使用SysTracer分析后門軟件的運行過程

SysTracer是一款可以分析你的計算機文件,文件夾和注冊表項目改變的系統實用工具。你可以在任何想要的時間獲取無數個屏幕快照，比較任何一對想要的屏幕快照,并且觀察其間的不同之處。獲取屏幕快照通常會持續幾分鐘的時間,這取決于文件和文件夾的數量和注冊表項目的總數。

• 最好用兩臺虛擬機：kali和win7
• 下載SysTracer
• 進入安裝選擇第二個，next設置端口為5107（后門生成時利用的端口），安裝完成后進入界面

• 這里先創建了3個快照，第一個是系統初始狀態，第二個是kail成功通過后門獲得了系統的操作，第三個是用查看文件和截屏的命令。

• 可以看到后門進程的一些通訊信息、句柄等內容。

• ?

?

轉載于:https://www.cnblogs.com/3523108059lyl/p/10667689.html

總結

以上是生活随笔為你收集整理的20165107 网络对抗技术 Exp4 恶意代码分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。