20154313 刘文亨 EXP4
20154313 Exp4 恶意代码分析
20154313刘文亨
一、 实践内容
1. 系统运行监控
· (1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
· (2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
1. 恶意软件分析:分析该软件在
· (1)启动回连时
· (2)安装到目标机时
· (3)其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
读取、添加、删除了哪些注册表项?
读取、添加、删除了哪些文件?
连接了哪些外部IP,传输了什么数据(抓包分析)?
二、 基础问题
1.
如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
2.
答:重启计算机,并对计算机的注册表,进程,端口,服务等内容进行检测,并使用抓包软件进行抓包,通过观察注册表,进程等内容的变化筛选出可疑的对象,然后针对可疑的对象在抓包过程中具体分析,看看有没有可以的建立套接字(也就是连接其他IP地址)的可疑操作,观察可以对象的流量是否异常,对数据包类型解析看看是否有可疑的内容。||| 方法:①注册表信息的增添修改删除。②用来进行网络连接的IP地址端口号。③程序的一系列行为。④可以使用wireshark抓包分析,分析网络连接状态;查看软件注册表信息;使用SysTracer等软件查看一段时间内系统注册表信息文件标化情况,将这些信息录入excel分析。。
3.
4.
如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
5.
答:①使用systracer工具,动态分析注册表修改情况,分析原因,这样做的目的,查看文件修改情况和端口情况并分析原因。②使用Wireshark进行抓包分析,查看该程序传输了哪些数据。
6.
三、实验过程
系统运行监控
1. Windows计划任务schtasks
·
为实现每1min记录下有哪些程序在连接网络,输入以下命令:
schtasks /create /TN 20154313netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
·
·
释义:TN是TaskName的缩写,我们创建的计划任务名是20154313netstat;sc表示计时方式,我们以分钟计时填MINUTE;TR=Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口,MO 表示隔两分钟进行一次。
·
·
此命令完成后,每五分钟就会监测哪些程序在使用网络,并把结果记录在netstatlog.txt文档里,但是不显示记录的时间和日期,这可能不便于我们判断,要是想显示日期和时间,我们可以通过bat批处理文件来实现。
·
在C盘要目录下建一个文件c:\netstatlog.bat(先把后缀设为txt,保存好内容后把后缀改为bat)
date /t >> c:\netstat4313.txt
time /t >> c:\netstat4313.txt
netstat -bn >> c:\netstat4313.txt
·
·
·
可以看到记录文件netstatlog.txt中的记录有了时间:
·
·
接下来我们要做的就是等待,等记录项目够多了再进行分析。
·
2. Sysmon
· 明确监控目标
—— 网络连接、驱动加载、远程线程创建、进程创建、访问和结束等
· sysmon微软Sysinternals套件中的一个工具,可以从码云项目的附件里进行下载,要使用sysmon工具先要配置文件,一开始我直接用的是老师给的配置文件,创建配置文件20154301.txt(注:一定要以管理员身份运行):
<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature></DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort></NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread>
</EventFiltering></Sysmon>
·
配置好文件之后,要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令对sysmon进行安装:
·
·
启动之后,便可以到事件查看器里查看相应的日志,在"运行"窗口输入eventvwr命令(我是直接输的,这个命令在哪个目录输都可以的),打开应用程序和服务日志,根据Microsoft->Windows->Sysmon->Operational路径找到记录文件:
·
·
我查看了其中一部分事件的详细信息,比如这个事件是之前做计划任务时所创建的:
·
·
例如下面的事件是360安全浏览器对文件的创建时间进行了更改,应该也就是更新:
·
·
将后门程序放入windows主机,在Kali下进行回连操作:
·
·
木马很可能伪装成电脑自带的explorer.exe进程
·
·
之后,我对Sysmoncfg.txt配置文件进行了修改,重点是监视80和443以及4313端口的联网情况
·
<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature></DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">SogouExplorer.exe</Image></NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
<DestinationPort condition="is">4301</DestinationPort> </NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread>
</EventFiltering></Sysmon>
3. virscan
·
4. systracer
·
点击take snapshot来快照,四个快照:1.将恶意软件植入到目标主机中后;2.恶意软件启动回连时;3.恶意软件执行dir命令进行查看时;4.恶意软件进行截屏操作时。
·
·
比较1、2,我们可以看到很多信息,包括IP及端口
·
·
恶意软件执行dir命令时无特殊信息,但在进行截屏操作时注册表信息有了修改:
·
6. Process Monitor
· 打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序4301.exe,再刷新一下Process Monitor的界面,可以指定查找到程序。
7. PEiD
· PEiD是一个常用的的查壳工具,可以分析后门程序是否加了壳。
·
加壳
8. Process Explorer
·
打开Process Explorer,运行后门程序4301.exe,在Process栏可以找到4313.exe
·
· 双击后门程序4313.exe一行,点击不同的页标签可以查看不同的信息:
·
·
四、实验体会
这次实验过程比较复杂,需要掌握和下载的软件比较多,要求也比较多,需要不断的探索与思考,确实比较复杂,但是通过这次实验可以知道恶意进程和代码的监控,防止后门程序。
公告
|
|||||||||
日 |
一 |
二 |
三 |
四 |
五 |
六 |
|||
25 |
26 |
27 |
28 |
29 |
30 |
31 |
|||
1 |
2 |
3 |
4 |
5 |
6 |
||||
8 |
9 |
10 |
11 |
13 |
14 |
||||
15 |
16 |
17 |
18 |
19 |
20 |
21 |
|||
22 |
23 |
24 |
25 |
26 |
27 |
28 |
|||
29 |
30 |
1 |
2 |
3 |
4 |
5 |
搜索
常用链接
· 我的随笔
· 我的评论
· 我的参与
· 最新评论
· 我的标签
随笔档案
阅读排行榜
· 1. Exp4 恶意代码分析 20154301仉鑫烨(27)
· 2. Exp1 PC平台逆向破解 20154301仉鑫烨(22)
· 3. Exp2 后门原理与实践 20154301仉鑫烨(19)
· 4. Exp1 PC平台逆向破解1 20154301仉鑫烨(17)
· 5. Exp3 免杀原理与实践 20154301仉鑫烨(11)
Copyright ©2018 20154301