20145327《网络对抗技术》恶意代码分析

实验问题回答

1.总结一下监控一个系统通常需要监控什么？用什么来监控？

注册表信息的增删添改;系统上各类程序和文件的行为记录以及权限
我们可以使用以下软件工具来监控：wireshark抓包分析;TCPview查看系统的TCP连接信息;sysmon用来监视和记录系统活动，并记录

2.如果在工作中怀疑一台主机上有恶意代码，请设计下你准备如何找到对应进程、恶意代码相关文件。

使用tcpview工具检测有哪些程序在进行网络连接，是否有进程是我们未预设会连接网络的；
查看该程序是否恶意修改了我们的注册表信息

实验总结与体会

哇，实验真的是让人欢喜让人忧。做完网络对抗实验感觉整个人都轻了200斤。
我们可以动态或者静态的分析可疑的软件，不过静态分析并没有多大用处，还是动态的好。

实践过程记录

恶意代码静态分析
先用VirScan扫描一下上次实验用到的后门程序testcc.exe

大多数杀软检测其为病毒，点击文件行为分析查看一下这个程序到底做了什么：

由上图我们发现testcc.exe这个程序是由UPolyX v0.5加的壳；它的网络行为为建立到一个指定的套接字连接；与此同时他会检测自身是否被调试，还会创建事件对象；还能自行删除了注册表键和注册表键值；

恶意代码动态分析
1.sysinternals工具集
（1）Tcpview
查看进行tcp连接的进程信息：

（2）sysmon工具
快速安装(在管理员模式下)

配置xml文件sysmon -c cc.xml，并使用sysmon -c查看配置；

确实启动了

在计算机管理工具-事件查看器下可以查看日志信息

任务计划

2.SysTracer工具
在附件中下载SysTracer这个工具的安装包，默认安装即可
我们会使用这个工具中快照工具，这样方便我们比对恶意代码攻击成功后系统的改变，因为每次快照都要扫描注册表以及硬盘的信息，所以我们选择win 7虚拟机作为靶机
Kali的IP：192.168.43.54（NAT方式）
win7虚拟机的IP：192.168.43.55（NAT方式）

Take snapshot键就是我们快照，点击进入后我们可以选择想扫描快照的部分，包括注册表和硬盘分区等，选择完毕后我们点击start等待快照完成即可。
1.在正常情况下，我们在win7虚拟机下快照保存为Snapshot #1；
2.Kali生成相应的后门，将文件通过ncat传到win7虚拟机下后快照保存为Snapshot #2；
3.Kali开启msf监听，在win7下运行后门程序后快照保存为Snapshot #3；
4.Kali对win7虚拟机进行截图后，在win7下快照保存为Snapshot #4；

可以选择两个快照进行campare，分析每次操作对系统的影响：