20145310《网络对抗》恶意代码分析

基础问题回答

1、如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

这次试验的软件都可以,、sysmon监视系统活动记录、每隔一定时间获取一下每个进程联网的状态并记录到windows事件日志,得到有关进程创建,网络链接和文件创建时间更改的详细信息,Process Explorer工具可以监视进程执行情况,用wireshark进行抓包分析,查看系统到底进行了哪些网络连接。可以监控注册表的变化,文件的变化。

 

2、如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

使用systracer工具分析某个程序执行前后,拍下snapshot快照分析计算机注册表、文件、端口的变化。使用PEiD查看这个程序是否加壳。使用Process Monitor查看实时文件系统、注册表和进程/线程活动

 

使用schtasks指令监控系统运行

先在C盘目录下建立一个netstatlog.bat文件。可以先使用记事本编辑后改后缀。用来将记录的联网结果格式化输出到netstatlog.txt文件中。

netstatlog.bat内容为:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

打开Windows下cmd,输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务

查看netstatlog.txt

可以看到里面有系统,显卡,浏览器等等。

使用sysmon工具监控系统运行

sysmon微软Sysinternals套件中的一个工具,安装需要配置文件。

之后进行安装

打开事件管理器

windows的命令提示行在运行。

web网站分析

之前的一个程序,放到评测网站virscan上进行分析。可以看到这个软件的行为,试图删除注册表。

使用systracer工具分析恶意软件

首先在执行后门之前打开安装好的SysTracer.

打开攻击机msfconsle,开放监听;win7下对注册表、文件、应用情况进行快照,保存为Snapshot #1

win10下打开木马exe,回连kali,win7下再次快照,保存为Snapshot #2

kali中通过msf发送文件给win7靶机,win7下再次快照,保存为Snapshot #4

kali中对win7靶机进行屏幕截图,win7下再次快照,保存为Snapshot #3

Process Explorer分析恶意软件

用PE explorer打开文件5310backdoor,查看PE文件编译的一些基本信息,导入导出表等。

点击一下上面的“导入表(Import)”,查看一下这个程序都调用了哪些dll文件:

WSOCK32.dllWS2_32.dll这两个DLL用于创建套接字,即会发生网络连接。

使用Dependency Walker

从上图可知,通过查看DLL文件的函数,该可执行文件会删除注册表键和注册表键值。

使用Process Monitor分析恶意软件

这里大部分都是系统进程啊,应该没有恶意软件。

PEiD

使用PEiD软件可以查看恶意软件的壳的相关信息,以及其所使用的编译器版本:

 

心得

这次接触到了好多分析恶意代码的工具,其实还是很有用的,但是我觉得吧,大部分时候我们都会因为懒或者怎样,就算知道自己的电脑里有恶意代码检视自己也会懒得去分析,其实这样会造成各种各样的安全隐患,比如个人隐私泄露等等。应该还是要两头抓吧,即从源头养成良好的习惯尽量避免恶意代码进入自己的电脑,又定期的分析自己的电脑有没有遭受恶意代码的侵袭。

posted @ 2017-04-05 22:27  20145310刘宇飞  阅读(196)  评论(0编辑  收藏  举报