20154313 刘文亨 EXP4

20154313 Exp4 恶意代码分析

20154313刘文亨

 

一、 实践内容

1. 系统运行监控

· 1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

· 2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

1. 恶意软件分析:分析该软件在

· 1)启动回连时

· 2)安装到目标机时

· 3)其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件

读取、添加、删除了哪些注册表项?

读取、添加、删除了哪些文件?

连接了哪些外部IP,传输了什么数据(抓包分析)?

 

二、 基础问题

1. 

如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

2. 

答:重启计算机,并对计算机的注册表,进程,端口,服务等内容进行检测,并使用抓包软件进行抓包,通过观察注册表,进程等内容的变化筛选出可疑的对象,然后针对可疑的对象在抓包过程中具体分析,看看有没有可以的建立套接字(也就是连接其他IP地址)的可疑操作,观察可以对象的流量是否异常,对数据包类型解析看看是否有可疑的内容。||| 方法:①注册表信息的增添修改删除。②用来进行网络连接的IP地址端口号。③程序的一系列行为。④可以使用wireshark抓包分析,分析网络连接状态;查看软件注册表信息;使用SysTracer等软件查看一段时间内系统注册表信息文件标化情况,将这些信息录入excel分析。。

3. 

4. 

如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

5. 

答:①使用systracer工具,动态分析注册表修改情况,分析原因,这样做的目的,查看文件修改情况和端口情况并分析原因。②使用Wireshark进行抓包分析,查看该程序传输了哪些数据。

6. 

 

三、实验过程

系统运行监控

1. Windows计划任务schtasks

· 

为实现每1min记录下有哪些程序在连接网络,输入以下命令:
schtasks /create /TN 20154313netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

· 

· 

释义:TNTaskName的缩写,我们创建的计划任务名是20154313netstatsc表示计时方式,我们以分钟计时填MINUTETR=Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口,MO 表示隔两分钟进行一次。

 

· 

· 

此命令完成后,每五分钟就会监测哪些程序在使用网络,并把结果记录在netstatlog.txt文档里,但是不显示记录的时间和日期,这可能不便于我们判断,要是想显示日期和时间,我们可以通过bat批处理文件来实现。

· 

C盘要目录下建一个文件c:\netstatlog.bat(先把后缀设为txt,保存好内容后把后缀改为bat

date /t >> c:\netstat4313.txt

time /t >> c:\netstat4313.txt

netstat -bn >> c:\netstat4313.txt

· 

 

 

· 

· 

可以看到记录文件netstatlog.txt中的记录有了时间:

 

· 

· 

接下来我们要做的就是等待,等记录项目够多了再进行分析。

· 

2. Sysmon

· 明确监控目标

—— 网络连接、驱动加载、远程线程创建、进程创建、访问和结束等

· sysmon微软Sysinternals套件中的一个工具,可以从码云项目的附件里进行下载,要使用sysmon工具先要配置文件,一开始我直接用的是老师给的配置文件,创建配置文件20154301.txt(注:一定要以管理员身份运行):

<Sysmon schemaversion="3.10">

  <!-- Capture all hashes -->

  <HashAlgorithms>*</HashAlgorithms>

  <EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude">

  <Signature condition="contains">microsoft</Signature>

  <Signature condition="contains">windows</Signature></DriverLoad>

<NetworkConnect onmatch="exclude">

  <Image condition="end with">chrome.exe</Image>

  <Image condition="end with">iexplorer.exe</Image>

  <SourcePort condition="is">137</SourcePort></NetworkConnect>

<CreateRemoteThread onmatch="include">

  <TargetImage condition="end with">explorer.exe</TargetImage>

  <TargetImage condition="end with">svchost.exe</TargetImage>

  <TargetImage condition="end with">winlogon.exe</TargetImage>

  <SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread>

  </EventFiltering></Sysmon>

 

· 

配置好文件之后,要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令对sysmon进行安装:

 

· 

· 

启动之后,便可以到事件查看器里查看相应的日志,在"运行"窗口输入eventvwr命令(我是直接输的,这个命令在哪个目录输都可以的),打开应用程序和服务日志,根据Microsoft->Windows->Sysmon->Operational路径找到记录文件:

 

· 

· 

我查看了其中一部分事件的详细信息,比如这个事件是之前做计划任务时所创建的:

 

· 

 

· 

例如下面的事件是360安全浏览器对文件的创建时间进行了更改,应该也就是更新:

 


· 

 

· 

将后门程序放入windows主机,在Kali下进行回连操作:

 

· 

 

· 

木马很可能伪装成电脑自带的explorer.exe进程

 

· 

· 

之后,我对Sysmoncfg.txt配置文件进行了修改,重点是监视80443以及4313端口的联网情况

 

· 

<Sysmon schemaversion="3.10">

  <!-- Capture all hashes -->

  <HashAlgorithms>*</HashAlgorithms>

  <EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude">

  <Signature condition="contains">microsoft</Signature>

  <Signature condition="contains">windows</Signature></DriverLoad>

<NetworkConnect onmatch="exclude">

  <Image condition="end with">SogouExplorer.exe</Image></NetworkConnect>

<NetworkConnect onmatch="include">     

  <DestinationPort condition="is">80</DestinationPort>      

  <DestinationPort condition="is">443</DestinationPort>

  <DestinationPort condition="is">4301</DestinationPort>    </NetworkConnect>

<CreateRemoteThread onmatch="include">

  <TargetImage condition="end with">explorer.exe</TargetImage>

  <TargetImage condition="end with">svchost.exe</TargetImage>

  <TargetImage condition="end with">winlogon.exe</TargetImage>

  <SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread>

  </EventFiltering></Sysmon>

 

3. virscan

 

· 

4. systracer

· 

点击take snapshot来快照,四个快照:1.将恶意软件植入到目标主机中后;2.恶意软件启动回连时;3.恶意软件执行dir命令进行查看时;4.恶意软件进行截屏操作时。

 

· 

· 

比较12,我们可以看到很多信息,包括IP及端口

 

· 

· 

恶意软件执行dir命令时无特殊信息,但在进行截屏操作时注册表信息有了修改:

 

· 

6. Process Monitor

· 打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序4301.exe,再刷新一下Process Monitor的界面,可以指定查找到程序。

 

 

 

7. PEiD

· PEiD是一个常用的的查壳工具,可以分析后门程序是否加了壳。

· 

加壳

 

 

8. Process Explorer

· 

打开Process Explorer,运行后门程序4301.exe,在Process栏可以找到4313.exe

 

· 

· 双击后门程序4313.exe一行,点击不同的页标签可以查看不同的信息:

· 

 

· 

 

四、实验体会

这次实验过程比较复杂,需要掌握和下载的软件比较多,要求也比较多,需要不断的探索与思考,确实比较复杂,但是通过这次实验可以知道恶意进程和代码的监控,防止后门程序。

公告

昵称:20154301
园龄:1个月
粉丝:0
关注:3

+加关注

<

2018年4月

>

 

25

26

27

28

29

30

31

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

1

2

3

4

5

搜索

 

 

常用链接

· 我的随笔

· 我的评论

· 我的参与

· 最新评论

· 我的标签

随笔档案

· 20184(2) 

· 20183(3) 

阅读排行榜

· 1. Exp4 恶意代码分析 20154301仉鑫烨(27)

· 2. Exp1 PC平台逆向破解 20154301仉鑫烨(22)

· 3. Exp2 后门原理与实践 20154301仉鑫烨(19)

· 4. Exp1 PC平台逆向破解1 20154301仉鑫烨(17)

· 5. Exp3 免杀原理与实践 20154301仉鑫烨(11)

Copyright ©2018 20154301

 

posted @ 2018-04-13 10:27  20154313_刘文亨  阅读(171)  评论(0编辑  收藏  举报