20145303刘俊谦 《网络攻防》恶意代码分析

20145303刘俊谦 《网络攻防》恶意代码分析

基础问题回答

总结一下监控一个系统通常需要监控什么、用什么来监控

监控的内容:
1、注册表信息的增删添改
2、系统上各类程序和文件的行为记录以及权限
3、实现网络连接的进程,使用的IP地址和端口号等
监控软件:
1、TCPview工具查看系统的TCP连接信息
2、wireshark进行抓包分析,查看网络连接
3、sysmon用来监视和记录系统活动,并记录到windows事件日志,提供文件、进程等的详细信息

如果在工作中怀疑一台主机上有恶意代码,请设计下你准备如何找到对应进程、恶意代码相关文件

1、使用tcpview工具检测有哪些程序在进行网络连接
2、使用PE解析软件查看可疑进程的详细信息,查看其是否加壳,分析3、调用的DLL及其函数用途
4、去专业网站扫描可疑进程,查看测评分数与信息
5、使用快照分析进程对系统做了哪些改变,新增文件
6、使用抓包软件分析进程网络连接传输的数据
7、使用Dependency Walker来分析是否有关于注册表的异常行为等

实践过程

静态分析


文件行为分析:


PE explorer

用PE explorer打开文件test.exe,查看PE文件编译的一些基本信息,导入导出表等

查看一下这个程序都调用了哪些dll文件:

PEID

打开test.exe

查看反汇编之后的代码:

Dependency Walker

打开test.exe

细致具体的分析dll文件:

通过查看DLL文件的函数,该可执行文件会删除注册表键和注册表键值

Tcpview

用于查看进行网络连接的进程信息,所以我们可以通过查看每个进程的联网通信状态,初步判断其行为

SysTracer

打开攻击机msfconsle,开放监听;win10下对注册表、文件、应用情况进行快照,保存: Snapshot #1

win10下打开木马test1.exe,回连kali,win10下再次快照,保存为:Snapshot #2

kali发送文件给win10靶机,win10下再次快照,保存为:Snapshot #3

kali中对win10靶机进行屏幕截图,win10下再次快照,保存为:Snapshot #4

对比Snapshot #1和Snapshot #2,可以看到注册表里面出现了新的表项,开放了新的端口

对比Snapshot #2和Snapshot #3,可以看到注册表里有了增减,开放端口有了变动

对比Snapshot #3和Snapshot #4,可以发现启动回连时注册表发生变化了,截屏时注册表也发生了一些变化

netstat命令设置计划任务

在桌面中创建一个netstat5303.txt文件,写下脚本:

date /t >> C:\Users\刘俊谦\Desktop\netstat5303.txt
time /t >> C:\Users\刘俊谦\Desktop\netstat5303.txt
netstat -bn >> C:\Users\刘俊谦\Desktop\netstat5303.txt

将后缀改为.bat

在任务计划程序中,新建一个触发器

操作选项栏:

创建完成后,运行任务,桌面出现了netstat5303.txt文件

用管理员权限运行

posted @ 2017-04-05 23:24  20145303刘俊谦  阅读(221)  评论(0编辑  收藏  举报