20145332卢鑫 恶意代码分析

20145332卢鑫 恶意代码分析

实验内容

恶意代码静态分析

1.使用网站进行分析

分析实验二中生成的病毒程序：
因为生成后才想到名字问题，本来是20145332.exe，扫描时改成了bd5332.exe

通过分析发现，该程序加了壳，是由UPolyX v0.5加的。
可以建立到一个指定的套接字连接，是网络连接
可以自行删除注册表键以及注册表键值
可以看出生成它的IP的一部分以及连接端口号

2.PE Explore

可以看出编译时间为2009年4月9日10:33：58
PE文件头的信息以及链接器的版本号为6.0

查看导入表：

ADVAPI32.dll：一个高级API应用程序接口服务库的一部分，调用这个dll可以实现对注册表的操控
WSOCK32.dll和WS2_32.dll：创建套接字，发生网络连接
从这些程序中对比运行时的状况。。。就能感觉这个程序不太对。。。

3.PE ID

在下方显示什么都没找到，但如果是没有加壳的程序，会直接显示出编译器的名称

在汇编代码中，就可以直接看到程序是干嘛的

4.Depandence Walker

通过这个软件可以看出dll调用

恶意代码动态分析

1.TCP View

电脑进行的网络连接真的好多。。。

2.sysmon

安装：

编辑xml不成功。。。没解决：

3.SysTracer

首先对主机进行一次快照，名字是Snapshot #1
等生成病毒文件后再进行一次快照，名字为Snapshot #2
将主机与Kali连接成功后进行快照，名字为Snapshot #3
通过Kali对主机进行操作后进行快照，名字为Snapshot #4

进行对比1和2：

注册表发生变化，且电脑中新增了病毒文件（没有显示的原因应该是病毒文件我没有放到电脑的信任区里。。。所以显示有问题）

进行对比2和3：

回连成功后多了一个注册表键

进行对比3和4：

注册表信息又发生变化

4.Wiershark

可以看出双方通信的端口号5332，源目的MAC地址，源目的IP地址，使用了TCP协议

回答问题

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

答：可以监控注册表的改变，软件的行为，还有进行网络行为时的IP地址等。
可以使用wireshark捕包软件，可以使用TCPView查看连接，还又这次实验用到的sysmon。

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

答：可以使用PEID,Dependence Walker,去专业网站扫描，TCPView等软件。

实验总结与体会

   这次发现可以用来分析的软件有这么多，而且软件之间也会通用性，就是不太好分析。。。可能英语没学好吧。。。但是觉得电脑真的太容易中病毒了！！！以后下软件还是可靠一些的好