20145310《网络对抗》恶意代码分析

基础问题回答

1、如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

这次试验的软件都可以，、sysmon监视系统活动记录、每隔一定时间获取一下每个进程联网的状态并记录到windows事件日志，得到有关进程创建，网络链接和文件创建时间更改的详细信息，Process Explorer工具可以监视进程执行情况，用wireshark进行抓包分析，查看系统到底进行了哪些网络连接。可以监控注册表的变化，文件的变化。

 

2、如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

使用systracer工具分析某个程序执行前后，拍下snapshot快照分析计算机注册表、文件、端口的变化。使用PEiD查看这个程序是否加壳。使用Process Monitor查看实时文件系统、注册表和进程/线程活动

 

使用schtasks指令监控系统运行

先在C盘目录下建立一个netstatlog.bat文件。可以先使用记事本编辑后改后缀。用来将记录的联网结果格式化输出到netstatlog.txt文件中。

netstatlog.bat内容为：
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

打开Windows下cmd，输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务

查看netstatlog.txt

可以看到里面有系统，显卡，浏览器等等。

使用sysmon工具监控系统运行

sysmon微软Sysinternals套件中的一个工具,安装需要配置文件。

之后进行安装

打开事件管理器

windows的命令提示行在运行。

web网站分析

之前的一个程序，放到评测网站virscan上进行分析。可以看到这个软件的行为，试图删除注册表。

使用systracer工具分析恶意软件

首先在执行后门之前打开安装好的SysTracer.

打开攻击机msfconsle，开放监听；win7下对注册表、文件、应用情况进行快照，保存为Snapshot #1

win10下打开木马exe，回连kali，win7下再次快照，保存为Snapshot #2

kali中通过msf发送文件给win7靶机，win7下再次快照，保存为Snapshot #4

kali中对win7靶机进行屏幕截图，win7下再次快照，保存为Snapshot #3

Process Explorer分析恶意软件

用PE explorer打开文件5310backdoor，查看PE文件编译的一些基本信息，导入导出表等。

点击一下上面的“导入表（Import）”，查看一下这个程序都调用了哪些dll文件：

WSOCK32.dll和WS2_32.dll这两个DLL用于创建套接字，即会发生网络连接。

使用Dependency Walker

从上图可知，通过查看DLL文件的函数，该可执行文件会删除注册表键和注册表键值。

使用Process Monitor分析恶意软件

这里大部分都是系统进程啊，应该没有恶意软件。

PEiD

使用PEiD软件可以查看恶意软件的壳的相关信息，以及其所使用的编译器版本：

 

心得

这次接触到了好多分析恶意代码的工具，其实还是很有用的，但是我觉得吧，大部分时候我们都会因为懒或者怎样，就算知道自己的电脑里有恶意代码检视自己也会懒得去分析，其实这样会造成各种各样的安全隐患，比如个人隐私泄露等等。应该还是要两头抓吧，即从源头养成良好的习惯尽量避免恶意代码进入自己的电脑，又定期的分析自己的电脑有没有遭受恶意代码的侵袭。