20145330 《网络攻防》恶意代码分析

20145330 《网络攻防》恶意代码分析

一、基础问题回答

(1)总结一下监控一个系统通常需要监控什么、用什么来监控。

通常需要监控注册表信息的增删添改、进程、端口、服务、ip地址、数据流还有文件的行为记录以及权限。

可以用:

  • TCPview工具查看系统的TCP连接信息
  • wireshark进行抓包分析,查看网络连接
  • sysmon用来监视和记录系统活动,并记录到windows事件日志,提供文件、进程等的详细信息

(2)如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程、恶意代码相关文件。

  • 去专业网站扫描可疑进程,查看测评分数与信息
  • 使用快照分析进程对系统做了哪些改变,新增文件
  • 使用抓包软件分析进程网络连接传输的数据
  • 查看该程序是否获取我们主机权限

二、实验总结与体会

对于恶意软件,我们有很多方法可以分析,可以静态分析也可以动态分析。其实分析恶意软件并没有我们想象的那么晦涩难懂,在操作与分析过程中我也在理解与学习。遇到不会的东西要多独立思考与尝试,可能就会有意想不到的收获呢。

三、实践过程记录

1 恶意代码静态分析

特征库比对

在扫描文件后等待片刻出现文件行为分析后点击查看分析:

查看网络行为、注册表行为和其他行为:

查看发现文件会有建立到一个指定套接字连接的行为,自行删除注册表键和值的行为,检测自身是否被调试的行为。

1.2 PE explorer

我没有PE explorer 所以直接下载了一个在自己的win7上,用PE explorer打开文件test_swx.exe,查看PE文件编译的一些基本信息,导入导出表等(啊我下载的是英文的...所以就边比对别人中文的对照着看)

可以看文件编译时间、链接器版本等信息:

点击“导入表”(import),可以查看该文件依赖的dll库:

MSVCRT.dllKERNEL32.dll属于一般程序在win下都会调用的dll库。

ADVAPI32.dll库是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。(注册表操控可疑了啊...)

WSOCK32.dllWS2_32.dll,是用来创建套接字的dll库,如果这个程序所介绍的功能中没有网络连接部分,那么这两个库就有些尴尬的可疑了...

1.3 PEiD

PEiD是一款著名的查壳工具,我电脑上没有这个软件于是先下载了一个。

一般正常的软件是不会为自己加壳的,如果下载了一个带壳软件,那就需要三思而后行了...现在通过PEiD分析一下test_swx.exe是否带壳。

Nothing found [Debug]什么都没找到,这样显示说明可能不识别该编译器

2 恶意代码分析之动态分析

2.1 sysinternals工具集

下载老师在项目附件的SysinternalsSuite201608,里面有我们需要用的应用程序

  • 2.1.1 Tcpview

Tcpview用于查看进行tcp连接的进程(有sogou、QQ等),可以看到端口、目的ip等信息。

  • sysmon工具

查看老师给的[使用轻量级工具Sysmon监视你的系统](https://edu.cnblogs.com/campus/besti/NetSec2017/homework/390),新建一个5330test.xml文件(文件内容参见指导博客)

指定配置文件,第一次尝试比对版本号。我这个是3.20的,提示建议3.10,进行修改。

又试了一次发现提示sysmon未安装,应该先一键安装:

sysmon -accepteula –i -n

然后指定配置文件:

sysmon -c 5330test.xml

配置成功:

使用sysmon -c查看配置:

但是打开服务失败了:

2.2 SysTracer工具

在附件中下载SysTracer这个工具的安装包,默认安装即可。

分析选择shellcode5330.exe,还是由虚拟机Kali作为攻击方进行监听,自己的主机作为靶机进行回连。

我们会使用这个工具中快照工具Take snapshot,点击进入后我们可以选择想扫描快照的部分

1、在正常情况下,我们在靶机下快照保存为snapshot #1

2、回连靶机成功,进行第二次快照。snapshot #2

对比1&2:传输后文件新增了本恶意代码

3、Kali对靶机进行截图(screenshot)后,在靶机下快照保存为snapshot #3

对比2&3:注册表信息又发生变化

4、Kali对靶机进行一些权限操作后(get system),在靶机下快照保存为snapshot #4

对比3&4:在进行一些权限操作后,进程信息显示后门程序有联网诉求

2.3 wireshark

Kali方打开监控,对回连过程进行抓包:可以看到靶机与攻击机三次握手建立连接(有许多次)

而且可以看出端口是我们的443端口但是数据加密,双方建立多次三次握手连接为了什么呢...想想都怕

2.4 任务计划

进入控制面板-管理工具-任务计划程序-创建任务-触发器-新建触发器,创建一个任务计划,命名为netstat5330(在常规界面命名)

触发器我们选择每天每隔5分钟执行一次

在C盘下创建一个文件夹:5330,在5302下创建一个netstat5330.txt,内容如下:(让网络记录可以显示我们连接的网络的时间和日期信息)


	date /t >> c:\netstat5330.txt
	time /t >> c:\netstat5330.txt
	netstat -bn >> c:\netstat5330.txt

保存后我们将文件的后缀改为bat,即netstat5330.bat

在操作选项栏设置:参数为>>c:\5330\netstat5330.txt

创建完成,运行netstat5330.bat,,点击管理员权限运行,我的会停留一秒闪退,但在这个过程中我迅速看清了netstat5330.txt的路径,直接在c盘下(这很费眼...),打开文件即可查看。

posted @ 2017-03-29 20:30  20145330孙文馨  阅读(345)  评论(0编辑  收藏  举报