20145236《網絡攻防》Exp4 惡意代碼分析

一、基礎問題回答

1. 如果在工作中懷疑一臺主機上有惡意代碼，但只是猜想，所有想監控下系統一天天的到底在干些什么。請設計下你想監控的操作有哪些，用什么方法來監控。
   • （1）我們可以使用一些工具幫助自己監測系統，可以實時監控電腦上的端口信息，如果受到懷疑的惡意代碼啟動的時候連接了一些看起來很可疑的端口，就可以進一步進行分析。
   • （2）我們可以通過在windows下建立一個監測本機連接ip地址的任務計劃程序，不定時的查看一下電腦都在什么時候連了網干了什么，如果在你覺得自己的電腦沒有聯網的情況下出現了ip訪問記錄就十分可疑了。
   • （3）可以通過sysmon監控幾乎所有的重要操作，并在事件查看器中找到日志查看。
2. 如果已經確定是某個程序或進程有問題，你有什么工具可以進一步得到它的哪些信息。
   • （1）PE explorer工具，它可以對程序調用庫等信息進行分析查看，還可以對其反匯編。
   • （2）PEiD工具，可以查看程序有沒有被常用的加殼軟件加殼。
   • （3）啟動該程序，利用systracer及wireshark動態分析程序動向。

二、實踐過程

• 惡意代碼是指沒有作用卻會帶來危險的代碼，一個最安全的定義是把所有不必要的代碼都看作是惡意的，不必要代碼比惡意代碼具有更寬泛的含義，包括所有可能與某個組織安全策略相沖突的軟件。
• 惡意代碼的分析方式有兩種：靜態分析技術和動態分析技術。在這篇博客里我們靜態分析選用的工具是：virscan、PE explorer、PEiD、；動態分析選用的工具是：systracer、wireshark、netstat、sysmon。
• 本次實驗采用的代碼是第二次后門實驗的代碼。

2.1 使用schtasks指令監控系統運行

1. 先在C盤目錄下建立一個netstatlog.bat文件，用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中，netstatlog.bat內容為：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

1. 打開Windows下命令提示符，輸入指令schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat"指令創建一個每隔五分鐘記錄計算機聯網情況的任務：
   
2. 這個時候每隔5分鐘就會更新一次netstatlog文件，我們可以查看當病毒回連的時候發生了什么：
   
   

• 端口號、ip地址等等都監測并記錄的十分清楚，美中不足的是我發現這個程序重啟系統之后貌似需要在任務計劃程序里手動開啟？（不知道是不是我的配置不對，但是嘗試了好幾次如果不不手動開重啟之后就不會記錄。）

2.2 使用sysmon工具監控系統運行

1. sysmon微軟Sysinternals套件中的一個工具，可以從碼云項目的附件里進行下載，我下載的是Sysmon v7.01，要使用sysmon工具先要配置文件，一開始我直接用的是老師給的配置文件：

<Sysmon schemaversion="3.10"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude"><Signature condition="contains">microsoft</Signature><Signature condition="contains">windows</Signature></DriverLoad><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><Image condition="end with">iexplorer.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp></NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread></EventFiltering>
</Sysmon>

1. 配置好文件之后，要先使用sysmon -accepteula –i指令對sysmon進行安裝：
   

2. 啟動之后，便可以到事件查看器里查看相應的日志：
   

2.3 使用virscan分析惡意軟件

1. 在virscan網站上查看上次實驗所做的后門軟件的文件行為分析：
   
2. 可以看到其啟動回連主機的部分IP地址以及端口號，還有對注冊表鍵值進行了刪除：
   
3. 還有反調試和創建事件對象的行為：
   

2.4使用systracer工具分析惡意軟件

• 使用systracer工具建立了4個快照，分別是在主機中沒有惡意軟件時、將惡意軟件植入到目標主機中后、惡意軟件啟動回連時、使用惡意軟件獲取目標主機的攝像頭時：
  

結果分析：

• 啟動回連時注冊表發生變化
  

• 啟動回連時，新建了20145236_backdoor.exe應用，可以看見它啟用了許多DLL文件
  

• wow64cpu.dll：wow64cpu.dll是一個進程來自Microsoft Corporation。它可以被發現在C:\位置。這是一個潛在的安全風險，它能被病毒惡意修改。
• wow64win.dll：同上。
• ntdll.dll：ntdll.dll是Windows系統從ring3到ring0的入口。位于Kernel32.dll和user32.dll中的所有win32 API最終都是調用ntdll.dll中的函數實現的。ntdll.dll中的函-數使用SYSENTRY進入ring0，函數的實現實體在ring0中。

• Intel的x86處理器是通過Ring級別來進行訪問控制的，級別共分4層，RING0,RING1,RING2,RING3。Windows只使用其中的兩個級別RING0和RING3。RING0層擁有最高的權限，RING3層擁有最低的權限。按照Intel原有的構想，應用程序工作在RING3層，只能訪問RING3層的數據，操作系統工作在RING0層，可以訪問所有層的數據，而其他驅動程序位于RING1、RING2層，每一層只能訪問本層以及權限更低層的數據。
  綜合以上描述，該程序可以獲取到RING0權限，具有較高的侵略性。

2.5 使用wireshark分析惡意軟件回連情況

• 設置IP過濾格式：ip.src==192.168.85.129 or ip.dst==192.168.85.129，在進行回連操作時，使用wireshark進行抓包后可以看到，其先進行了TCP的三次握手，之后再進行數據的傳輸，如圖所示，帶有PSH,ACK的包傳送的便是執行相關操作指令時所傳輸的數據包：
  

2.6使用Process Explorer分析惡意軟件

• 在虛擬機下通過PE explorer打開文件20145236_backdoor.exe，可以查看PE文件編譯的一些基本信息，導入導出表等。

• 如下圖，可以看到該文件的編譯時間、鏈接器等基本信息：
  
  如圖可以看出編譯時間為2017年3月28日
  處理器為i386
  版本號為6.0

• 如下圖，我們點擊“導入表”，可以查看該文件依賴的dll庫：
  這是未實現免殺的病毒文件的ddl庫
  

• WSOCK32.dll和WS2_32.dll，是用來創建套接字的dll庫，顯然，如果這個程序所介紹的功能中不應該有網絡連接部分，那么在其動態鏈接庫中還存在這2個庫就顯得尤為可疑了。
• 另外圖中所顯示的ADVAPI32.dll庫百度可知：是一個高級API應用程序接口服務庫的一部分，包含的函數與對象的安全性，注冊表的操控以及事件日志有關。
• 敏感了吧，注冊表的操控，想想72k的一個小程序還操控注冊表，一看就不正經了。

• 另外2個不做過多介紹，屬于一般程序在win下都會調用的dll庫。

2.7 使用PEiD分析惡意軟件

• 使用PEiD軟件可以查看惡意軟件的殼的相關信息，以及其所使用的編譯器版本：
  

三、實驗總結

• 本次實驗的重點在于對惡意代碼進行剖析，在這個稍微強大一點的病毒就能輕易逃過殺軟的時代，想要保證電腦的安全不可謂不難。
• 以后我們若是懷疑自己的電腦被植入了病毒，可以通過這次實驗中使用的方法手動監測。
• 弄清楚一個程序是不是病毒，更要熟悉自己的電腦，清楚某些端口號的作用，清楚什么是可疑的動態。
• 之前三次實驗都是老師給出實驗大體步驟，一步一步照著做下去，像按照說明書搭房子，鍛煉的是動手能力，但這次實驗幾乎沒有實驗指導，怎么做都要自己去想，從地基到房梁結構都要自己設計，側重于鍛煉思維能力，收獲了一種全新的學習體驗。

轉載于:https://www.cnblogs.com/feng886779/p/8761657.html

總結

以上是生活随笔為你收集整理的20145236《网络攻防》Exp4 恶意代码分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。