20145303刘俊谦 《网络攻防》恶意代码分析

20145303刘俊谦 《网络攻防》恶意代码分析

基础问题回答

总结一下监控一个系统通常需要监控什么、用什么来监控

监控的内容：
1、注册表信息的增删添改
2、系统上各类程序和文件的行为记录以及权限
3、实现网络连接的进程，使用的IP地址和端口号等
监控软件：
1、TCPview工具查看系统的TCP连接信息
2、wireshark进行抓包分析，查看网络连接
3、sysmon用来监视和记录系统活动，并记录到windows事件日志，提供文件、进程等的详细信息

如果在工作中怀疑一台主机上有恶意代码，请设计下你准备如何找到对应进程、恶意代码相关文件

1、使用tcpview工具检测有哪些程序在进行网络连接
2、使用PE解析软件查看可疑进程的详细信息，查看其是否加壳，分析3、调用的DLL及其函数用途
4、去专业网站扫描可疑进程，查看测评分数与信息
5、使用快照分析进程对系统做了哪些改变，新增文件
6、使用抓包软件分析进程网络连接传输的数据
7、使用Dependency Walker来分析是否有关于注册表的异常行为等

实践过程

静态分析

文件行为分析：

PE explorer

用PE explorer打开文件test.exe，查看PE文件编译的一些基本信息，导入导出表等

查看一下这个程序都调用了哪些dll文件：

PEID

打开test.exe

查看反汇编之后的代码:

Dependency Walker

打开test.exe

细致具体的分析dll文件:

通过查看DLL文件的函数，该可执行文件会删除注册表键和注册表键值

Tcpview

用于查看进行网络连接的进程信息，所以我们可以通过查看每个进程的联网通信状态，初步判断其行为

SysTracer

打开攻击机msfconsle，开放监听；win10下对注册表、文件、应用情况进行快照，保存: Snapshot #1

win10下打开木马test1.exe，回连kali，win10下再次快照，保存为:Snapshot #2

kali发送文件给win10靶机，win10下再次快照，保存为:Snapshot #3

kali中对win10靶机进行屏幕截图，win10下再次快照，保存为:Snapshot #4

对比Snapshot #1和Snapshot #2，可以看到注册表里面出现了新的表项,开放了新的端口

对比Snapshot #2和Snapshot #3，可以看到注册表里有了增减,开放端口有了变动

对比Snapshot #3和Snapshot #4，可以发现启动回连时注册表发生变化了，截屏时注册表也发生了一些变化

netstat命令设置计划任务

在桌面中创建一个netstat5303.txt文件，写下脚本：

date /t >> C:\Users\刘俊谦\Desktop\netstat5303.txt
time /t >> C:\Users\刘俊谦\Desktop\netstat5303.txt
netstat -bn >> C:\Users\刘俊谦\Desktop\netstat5303.txt

将后缀改为.bat

在任务计划程序中，新建一个触发器

操作选项栏：

创建完成后，运行任务，桌面出现了netstat5303.txt文件

用管理员权限运行