20154313 刘文亨 EXP4

20154313 Exp4 恶意代码分析

20154313刘文亨

一、实践内容

1. 系统运行监控

· （1）使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

· （2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

1. 恶意软件分析：分析该软件在

· （1）启动回连时

· （2）安装到目标机时

· （3）其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

读取、添加、删除了哪些注册表项？

读取、添加、删除了哪些文件？

连接了哪些外部IP，传输了什么数据（抓包分析）？

二、基础问题

如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

答：重启计算机，并对计算机的注册表，进程，端口，服务等内容进行检测，并使用抓包软件进行抓包，通过观察注册表，进程等内容的变化筛选出可疑的对象，然后针对可疑的对象在抓包过程中具体分析，看看有没有可以的建立套接字（也就是连接其他IP地址）的可疑操作，观察可以对象的流量是否异常，对数据包类型解析看看是否有可疑的内容。||| 方法：①注册表信息的增添修改删除。②用来进行网络连接的IP地址端口号。③程序的一系列行为。④可以使用wireshark抓包分析，分析网络连接状态；查看软件注册表信息；使用SysTracer等软件查看一段时间内系统注册表信息文件标化情况，将这些信息录入excel分析。。

如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

答：①使用systracer工具，动态分析注册表修改情况，分析原因，这样做的目的，查看文件修改情况和端口情况并分析原因。②使用Wireshark进行抓包分析，查看该程序传输了哪些数据。

三、实验过程

系统运行监控

1. Windows计划任务schtasks

为实现每1min记录下有哪些程序在连接网络，输入以下命令：
schtasks /create /TN 20154313netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

释义：TN是TaskName的缩写，我们创建的计划任务名是20154313netstat；sc表示计时方式，我们以分钟计时填MINUTE；TR=Task Run，要运行的指令是 netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口,MO 表示隔两分钟进行一次。

此命令完成后，每五分钟就会监测哪些程序在使用网络，并把结果记录在netstatlog.txt文档里，但是不显示记录的时间和日期，这可能不便于我们判断，要是想显示日期和时间，我们可以通过bat批处理文件来实现。

在C盘要目录下建一个文件c:\netstatlog.bat（先把后缀设为txt，保存好内容后把后缀改为bat）

date /t >> c:\netstat4313.txt

time /t >> c:\netstat4313.txt

netstat -bn >> c:\netstat4313.txt

可以看到记录文件netstatlog.txt中的记录有了时间：

接下来我们要做的就是等待，等记录项目够多了再进行分析。

2. Sysmon

· 明确监控目标

—— 网络连接、驱动加载、远程线程创建、进程创建、访问和结束等

· sysmon微软Sysinternals套件中的一个工具，可以从码云项目的附件里进行下载，要使用sysmon工具先要配置文件，一开始我直接用的是老师给的配置文件,创建配置文件20154301.txt（注：一定要以管理员身份运行）：

<Signature condition="contains">microsoft</Signature>

<Signature condition="contains">windows</Signature></DriverLoad>

<Image condition="end with">chrome.exe</Image>

<Image condition="end with">iexplorer.exe</Image>

<TargetImage condition="end with">explorer.exe</TargetImage>

<TargetImage condition="end with">svchost.exe</TargetImage>

<TargetImage condition="end with">winlogon.exe</TargetImage>

<SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread>

</EventFiltering></Sysmon>

配置好文件之后，要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令对sysmon进行安装：

启动之后，便可以到事件查看器里查看相应的日志，在"运行"窗口输入eventvwr命令（我是直接输的，这个命令在哪个目录输都可以的），打开应用程序和服务日志，根据Microsoft->Windows->Sysmon->Operational路径找到记录文件：

我查看了其中一部分事件的详细信息，比如这个事件是之前做计划任务时所创建的：

例如下面的事件是360安全浏览器对文件的创建时间进行了更改，应该也就是更新：

将后门程序放入windows主机，在Kali下进行回连操作：

木马很可能伪装成电脑自带的explorer.exe进程

之后，我对Sysmoncfg.txt配置文件进行了修改，重点是监视80和443以及4313端口的联网情况

<Signature condition="contains">microsoft</Signature>

<Signature condition="contains">windows</Signature></DriverLoad>

<Image condition="end with">SogouExplorer.exe</Image></NetworkConnect>

<TargetImage condition="end with">explorer.exe</TargetImage>

<TargetImage condition="end with">svchost.exe</TargetImage>

<TargetImage condition="end with">winlogon.exe</TargetImage>

<SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread>

</EventFiltering></Sysmon>

3. virscan

4. systracer

点击take snapshot来快照，四个快照：1.将恶意软件植入到目标主机中后；2.恶意软件启动回连时；3.恶意软件执行dir命令进行查看时；4.恶意软件进行截屏操作时。

比较1、2，我们可以看到很多信息，包括IP及端口

恶意软件执行dir命令时无特殊信息，但在进行截屏操作时注册表信息有了修改：

6. Process Monitor

· 打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化，运行一下后门程序4301.exe，再刷新一下Process Monitor的界面，可以指定查找到程序。

7. PEiD

· PEiD是一个常用的的查壳工具，可以分析后门程序是否加了壳。

加壳

8. Process Explorer

打开Process Explorer，运行后门程序4301.exe，在Process栏可以找到4313.exe

· 双击后门程序4313.exe一行，点击不同的页标签可以查看不同的信息：

四、实验体会

这次实验过程比较复杂，需要掌握和下载的软件比较多，要求也比较多，需要不断的探索与思考，确实比较复杂，但是通过这次实验可以知道恶意进程和代码的监控，防止后门程序。

公告

昵称：20154301
园龄：1个月
粉丝：0
关注：3

+加关注

2018年4月

日

一

二

三

四

五

六

搜索

posted @ 2018-04-13 10:27 20154313_刘文亨阅读(171) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

20154313_刘文亨