Exp4 恶意代码分析 20175124符嘉讯
1.系统运行监控
使用schtasks指令 schtasks /create /TN schtasks5124 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
添加计划任务
新建schtasks5124.txt,出现以下错误:
使用该法解决:(以管理员模式输入icacls c:\ /setintegritylevel M)
于创建的txt中输入
date /t >> c:\netstat20175124.txt
time /t >> c:\netstat20175124.txt
netstat -bn >> c:\netstat20175124.txt
保存并退出,修改扩展名schtasks5124.bat
任务计划程序编辑计划任务
运行任务netstat开始记录后台的数据,保持电脑的正常使用,约两小时后在C盘目录打开netstat20175124.txt查看数据,出现以下错误:
猜测是因为权限问题,更改属性解决(白费了两小时,痛不欲生)
参考教程:https://www.cnblogs.com/zjy1997/p/8824717.html,使用Excel的表格工具导入文档数据,生成数据透视图(其实自己摸索着弄也成,我是wps,和该文章工具不同,自个摸索着整出来了)
下载SysinternalsSuite.zip并解压
因为系统是64位的系统所以选择Sysmon64.exe,右键属性在详细信息查看产品版本,我的是10.0.4.2
在SysinternalsSuite所在目录下创建sysmon20175124.xml,以文本文档方式打开输入代码保存并退出。
文件sysmon20175124.xml中代码为(版本改为自己下载的Sysmon版本号):
<Sysmon schemaversion="10.12">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering></Sysmon>
运行CMD在Sysmon64.exe目录下执行Sysmon64.exe -i sysmon20175124.xml
失败,猜测原因为并未使用管理员权限打开
使用管理员权限打开后成功。点击agree,安装成功
事件查看器(本地)-应用程序和服务日志-Microsoft-Windows-Sysmon-Operational查看根据配置信息sysmon20175124.xml记录的进程信息进程号、 路径等系统信息
2.恶意软件分析
使用恶意软件(实验二中的后门程序进行回连),以日志信息和Wireshark捕包信息分析系统进程规律
如实验二具体步骤执行后门程序:
dir查看磁盘中后门程序目录下的文件,日志没有更新
webcam_snap通过摄像头拍照,日志更新了两条
screenshot截屏,日志更新三条
总的来看,Sysmon不能在恶意软件未设置反应措施的情况下完全监控到恶意软件的攻击行为,而删除配置项或卸载SysmonDrv过滤器的驱动程序更可以绕过Sysmon,所以安全软件还是非常重要的。
三、实验总结与体会
1.基础问题回答
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
可以通过计划任务,来建立一个定时更新的日志来查看
通过sysmon来监控。
可通过自启项监控软件监控。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
可以通过如wireshark一类的抓包工具,进行分析。
使用VirusTotal、Virscan等渠道进行检查
2.实验收获与感想
在本次实验中,我又遇到了许多困难,有些比较耗时间,有些就比较好解决,在突破了各式各样的疑难杂症后,终于完成了大部分的实验要求。通过这次实验,我对我电脑的各项情况又有了更多的了解,学会了过去从未设想过的知识。在这类相关知识方面自己的能力还是相当的匮乏,仍需不断学习实践,将理论知识与实践相结合,争取在未来的课程及岗位上发挥出自己的最大能力。