報告內容

1.實驗后回答問題

（1）總結一下監控一個系統通常需要監控什么、用什么來監控。

• 注冊表信息的增添修改刪除。
• 用來進行網絡連接的IP地址端口號。
• 程序的一系列行為
• 可以使用wireshark抓包分析，分析網絡連接狀態；查看軟件注冊表信息；使用SysTracer等軟件查看一段時間內系統注冊表信息文件標化情況。
  （2）如果在工作中懷疑一臺主機上有惡意代碼，請設計下你準備如何找到對應進程、惡意代碼相關文件。
  更新殺軟，看殺軟是否能將它查出來。不行的話就看注冊表信息，用這次實驗的內容分析。
• 網站掃描可疑進程（比如VirScan網站），查看進程的行為；
• 用工具檢測程序進行的聯網行為，找到可疑進程；
• 用快照分析進程對系統做了什么，比如新增文件，修改注冊表信息等；
• 使用抓包軟件分析聯網的數據。

2.實驗總結與體會
通過這次實驗，我們除了可以利用殺軟，還學習了自己對一些惡意軟件的分析，看看它對計算機系統進行了哪些行為，來判斷是否為惡意軟件，從而進行清理，這樣就可以不單單依靠殺軟進行查殺了。在最后抓包的過程中，我用本機的win10系統抓不到kali的ip地址啊...然后我直接用了kali中的wireshark這才抓到...所以這是哪里出了問題？NAT連接模式嗎？

3.實踐過程記錄

系統運行監控

使用計劃任務schtasks

使用命令C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt" 創建計劃任務netstat
如下圖所示：

netstat命令設置計劃任務

在C盤中創建一個netstat5201.bat文件

其中寫入代碼

新建觸發器：

進一步設置：

最后得到txt的記錄...word天這么老多....

• 圖中我們可以看到 有360tray就是360實時檢測程序
• 還有瀏覽器虛擬機等等信息...

sysmon工具

• 用了管理員身份運行cmd，進行設置
  
  

• 之后在開始中輸入：事件查看日志,打開“事件查看器”,以查看所得到的消息，其中上面是事件，下面是具體內容。如下圖：
  

• 屬性詳細信息：
  

sysinternals工具集

• Tcpview
  Tcpview用于查看進行tcp連接的進程，比如可以看到360安全衛士、360瀏覽器、一個免費wifi的進程信息，也可以看到端口、目的ip等信息。
  

惡意軟件分析

靜態分析

1、利用VirScan網站來分析惡意代碼：
直接將文件上傳至http://www.virscan.org/ 點擊行為分析便可看到相關的信息

我測試了一下上一個實驗做出的后門，結果如下


上圖可以看到：

• 它由由UPolyX v0.5加殼；
• 網絡行為為建立到一個指定的套接字連接，顯示了IP地址和端口號；
• 程序自行刪除了注冊表鍵值、注冊表鍵；
• 檢測自身是否被調試，創建事件對象；

2、利用PE explorer軟件分析

• 在虛擬機下通過PE explorer打開上星期的exe，可以查看PE文件編譯的一些基本信息，導入導出表等
  如下圖，可以看到該文件的編譯時間、鏈接器等基本信息
  

• 點擊導入表：
  
  意思是改文件以來的dll庫只有一個kernel32.dll
  查了下百度
  是Windows 9x/Me中非常重要的32位動態鏈接庫文件，屬于內核級文件。它控制著系統的內存管理、數據的輸入輸出操作和中斷處理，當Windows啟動時，kernel32.dll就駐留在內存中特定的寫保護區域，使別的程序無法占用這個內存區域。

• 各屬性section值
  

• 反匯編結果
  

PEiD

PEiD是一款查殼工具，它可以探測大多數的PE文件封包器、加密器和編譯器。

動態分析：

SysTracer

下載SysTracer后開啟
點擊Take snapshot鍵快照
我進行如下幾次的快照：
1.在正常狀況，安裝完畢后直接進行第一期快照保存為Snapshot #1；
2.Kali開啟msf監聽，快照保存為Snapshot #2；
3.打開木馬，回連成功后#3
4.Kali對win7虛擬機進行截圖后，在win7下快照保存為Snapshot #4；
5.Kali對win7進行一些權限操作后，在win7下快照保存為Snapshot #5.
等待全部完成...好多東西...

通過對比快照的方式來進行分析：

首先，運行了新的進程：

啟動回連時，注冊表發生了改變

截圖時注冊表發生變化：

同時，獲取權限時也有相應的變化：

圖上我們可以看到三種不同的顏色：
小藍代表修改了內容
小紅代表刪除了內容
小綠代表增加了內容

wireshark抓包

在后門程序回連時，利用wireshark進行捕包分析，協議分析發現回連時后門程序建立了三次握手并進行了數據傳輸。

轉載于:https://www.cnblogs.com/20145201lzx/p/6628386.html

總結

以上是生活随笔為你收集整理的20145201李子璇 《网络对抗》恶意代码分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。