20145232韩文浩《网络对抗》 恶意代码分析
- 在大多数情况下,进行恶意代码分析时,我们将只有恶意代码的可执行文件本身,而这些文件并不是我们人类可读的。为了了解这些文件的意义,你需要使用各种工具和技巧,而每种只能揭露出少量的信息。所以在实战中,我们要综合使用各种工具,才能看到一个全貌。
- 恶意代码分析有两类基本方法:
- 静态分析:在没有运行恶意代码时对其进行分析的技术
- 动态分析:相比较静态分析而言,则需要运行恶意代码,通过其产生的行为,如对计算机中注册表、文件的更改,网络的连接等动态数据进行分析,从而确定其具体行为
实验问题回答
1.需要监控什么?用什么来监控?
通常我们要监控以下几项信息:
注册表信息的增删添改
系统上各类程序和文件的行为记录以及权限
实现网络连接的进程,使用的IP地址和端口号等。
用以下软件工具来监控:
wireshark进行抓包分析,查看系统到底进行了哪些网络连接
TCPview工具可以查看系统的TCP连接信息
使用软件查看注册表信息的改动是否合理
sysmon用来监视和记录系统活动,并记录到windows事件日志。
2.如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程、恶意代码相关文件。
使用tcpview
工具检测有哪些程序在进行网络连接,是否有进程是我们未预设会连接网络的
使用快照分析进程对系统做了哪些改变,新增文件是否是我们预知的
使用wireshark抓包软件分析进程网络连接传输的数据到底是什么
Linux:192.168.31.132
win:172.20.10.3
恶意代码
本次实验分析对象是后门原理与实践中的5232.exe
使用VirSCAN分析
通过VirSCAN.org平台进行分析如下:
点击“文件行为分析”,可以详细地察看是否有敏感行为。
静态分析之PE套件使用
PE explorer
-
通过PE explorer打开文件5232.exe,可以查看PE文件编译的一些基本信息,导入导出表等。
-
可以看到该文件的编译时间、链接器等基本信息。
-
点击“导入表”,可以查看该文件依赖的dll库
-
WSOCK32.dll
和WS2_32.dll
,是用来创建套接字的dll库 -
ADVAPI32.dll
是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关。
PEiD
通过PEiD这款工具分析一下5232.exe
看看是否带壳以及其所使用的编译器版本。
Dependency Walker
Dependency Walker是一款Microsoft Visual C++中提供的非常有用的PE模块依赖性分析工具,可以查看PE模块的导入模块,查看PE模块的导入和导出函数,动态剖析PE模块的模块依赖性,解析C++函数名称
我们使用这个软件打开5232.exe
该可执行文件可以对注册表进行删除操作,这也与VirSCAN.org查杀解雇保持一致。
使用schtasks指令
先在C盘目录下建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstatlog.txt文件中。
打开Windows下命令提示符,输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"
指令创建一个每隔两分钟记录计算机联网情况的任务:
netstat命令设置计划任务
- 在C盘中创建一个
netstat5232.bat
文件
其中写入代码
date /t >> c:\netstat5232.txt
time /t >> c:\netstat5232.txt
netstat -bn >> c:\netstat5232.txt
-
在任务计划程序中,新建一个触发器
-
新建一个操作,并设置参数:
>> c:\netstat5232.txt
并设置一个名称,给予最高权限
-
回连后,发现记录了以下回连产生的记录
Wireshark
设置IP过滤格式:ip.src==192.168.31.132 or ip.dst==192.168.31.132
SysTracer
这一部分改在虚拟机中操作,由于主机文件较多,快照等待时间较长,而虚拟机中文件少、注册表少。易分析
1.首先我们在win7虚拟机下快照保存为Snapshot #1;
2.Kali生成相应的后门,将文件通过ncat传到win7虚拟机下后快照保存为Snapshot #2;
3.Kali开启msf监听,在win7下运行后门程序后快照保存为Snapshot #3;
4.Kali对win7虚拟机进行截图后,在win7下快照保存为Snapshot #4;
5.Kali对win7进行一些权限操作后,在win7下快照保存为Snapshot #5
-
生成相应的后门,C盘新增了我们传输的文件
-
回连成功后,注册表发生变化;多了一个注册表键,C盘新增5232.exe
-
截屏后,注册表信息又发生变化
-
进行相关权限操作时,有联网请求
Sysmon
-
在Sysmon.exe同目录下建立文件:test.txt,并输入老师指导书中给的XML
-
管理员身份运行CMD,输入指令:
Sysmon.exe -i test.xml
,进行安装
-
输入指令:
Sysmon.exe -c test.xml
,进行配置
-
设置好上述,可以进入
Applications and Services Logs/Microsoft/Windows/Sysmon/Operational
查看日志,这个过程会很慢,因为有大量日志数据