Exp4 恶意代码分析 20164309
實踐內容
一、系統運行監控
(1)使用如計劃任務,每隔一分鐘記錄自己的電腦有哪些程序在聯網,連接的外部IP是哪里。運行一段時間并分析該文件,綜述一下分析結果。目標就是找出所有連網的程序,連了哪里,大約干了什么(不抓包的情況下只能猜),你覺得它這么干合適不。如果想進一步分析的,可以有針對性的抓包。
①使用計劃任務監控聯網情況
以管理員身份運行命令提示符
輸入?schtasks /create /TN 20164309netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"?
其中TN是Task Name;SC:是SChedule type;MO是 MOdifier;TR:是Task Run
這里有一些小小的問題,盡管我們是以管理員身份運行的命令行提示符,但是在計劃中的權限還是要手動改為最高權限,為了記錄時間的準確性,還可以將間隔時間改為1分鐘;如果直接使用學長學姐的代碼,會覆蓋原有的內容,所以在>的后面要多加一個>才會輸出追加重定向。
?
創建一個bat文件“netstatlog.bat”,內容為:
date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt本機不能直接編輯bat文件,并且不能直接在c盤根目錄中創建txt文件,我是先在d盤中創建txt文件,其中輸入內容再將后綴改為bat,再將文件剪切至c盤中。
?
再進入計劃任務中創建任務“20164309 netstat1”,本任務的作用是通過記錄時間。統一標準,設置為1分鐘運行一次。
?
同樣要以最高權限運行。
?
設置完畢之后可以看到文件內容不僅有數據還有時間了。
?
②使用Excel數據透視表對收集的數據進行分析
使用自文本導入外部數據netstatlog.txt
?
使用分隔字符將文本導入向導
插入數據透視表
?
選取協議列進行分析
?
刪去不必要的二級字段,將一級字段拖入軸與值
?
將統計數據轉換成圖表
?
③將這些程序一一檢查,發現了以下幾個有問題:
1. [BrowserProtect99.exe]
?
2.[devenv.exe]
?
3.[GameBarPresenceWriter.exe]
4.DiagTrack
?
5.wlidsvc
?
?
?
(2)安裝配置sysinternals里的sysmon工具,設置合理的配置文件,監控自己主機的重點事可疑行為。
①編寫配置文件
根據之前的數據收集編寫相應的配置文件20164309.xml
<Sysmon schemaversion="3.10"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><ProcessCreate onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <Image condition="end with">MicrosoftEdgeCP.exe</Image> <Image condition="end with">QQ.exe</Image></ProcessCreate><FileCreateTime onmatch="exclude" ><Image condition="end with">chrome.exe</Image><Image condition="end with">MicrosoftEdgeCP.exe</Image> <Image condition="end with">QQ.exe</Image></FileCreateTime><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp></NetworkConnect><NetworkConnect onmatch="include"> <DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort><DestinationPort condition="is">4309</DestinationPort> </NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">MicrosoftEdgeCP.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread></EventFiltering> </Sysmon>輸入“sysmon64.exe -i ”安裝sysmon
輸入sysmon64.exe -c 20164309sysmonfig.xml,使用配置文件
?
發現使用的版本號錯誤,在xml中改為4.20
?
配置成功
?②復現實驗二,使用后門進行回連
進入事件查看器
?
?
搜索4309端口有關的信息
?
可以清楚地看到回連過程中的各項信息
?
(2)惡意軟件分析
?使用Systracer,對快照進行分析
我創建了五組快照,分別為:
snapshot#1.不做操作
snapshot#2.使用ncat傳輸后門
snapshot#3.使用后門,進行連接
snapshot#4.使用dir指令查看文件
snapshot#5.使用webcam_snap進行拍照
?
由于老師提供的systracer是未破解版本,最多只能創建五次快照容錯率低,在我摸索快照使用時造成了一定的困擾,所以我下載了一個破解版進行試驗,但由于破解版缺少相應openhandle與openport部分的功能所以我結合兩個版本進行了實驗。同時我在實驗開始之時沒有理解快照的含義,片面地認為操作必須在創建快照的時候進行,導致數據分析時產生了問題。
在此選取了情況一些進行分析:
snapshot#1 與snapshot#2
最直觀地差異就是傳輸的成果——20164309_backdoor.exe
我是通過ncat傳輸后門的記錄快照時同時也使用了systracer,因此ncat、systracer注冊表都有了更改;
?
snapshot#2 與snapshot#3
注冊表中很多項被更改
?
查看端口可以看到連接到虛擬機4309端口
?
snapshot#3 與snapshot#4
查看openhandle發現SearchFilterHost被頻繁使用,可能與搜索文件有關
snapshot#4 與snapshot#5
?
調用攝像頭時傳輸照片數據時可能對流量管理有了一些影響
?使用wireshark進行抓包
通過抓包可以看到通信在kali端地址為192.168.236.131端口為4309與以太網適配器端(即主機端)192.168.236.131端口為59132間進行,盡管只是進行了回彈與文件查詢,但數據傳輸進行了五百多次,可見后門之所以這么小還能實現這么多功能并不是由于本身的功勞,更多的是對系統的調用。
?
?
?實驗后回答問題
(1) 如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在干些什么。請設計下你想監控的操作有哪些,用什么方法來監控。
和本次實驗中所做的一樣,通過運用計劃任務隔一段時間來記錄本機中程序的運行情況;
安裝sysmon,有針對性地配置文件,監控主機程序聯網情況,查看日志進行分析
?
(2)如果已經確定是某個程序或進程有問題,你有什么工具可以進一步得到它的哪些信息。
virscan,靜態分析
systracer,通過快照分析更改的文件、注冊表、應用程序等等
Wireshark,通過抓包分析傳輸數據的具體內容
?
遇到的問題與實驗心得
遇到的問題在實驗內容中已經詳細描述過了,再此不多做贅述;
這四次實驗極大程度上磨煉了我的耐心,對知識掌握不夠牢靠和對工具使用的不熟練導致了我一次次的失敗,盡管磕磕絆絆最后還是成功了,但我還是深感自己能力的不足,希望在余下的五次實驗中,我的能力能夠得到進一步的提升。
?
轉載于:https://www.cnblogs.com/20164309-kx/p/10665220.html
總結
以上是生活随笔為你收集整理的Exp4 恶意代码分析 20164309的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Exp3 免杀原理与实践 201643
- 下一篇: Exp5 MSF基础应用 2016430