# 2017-2018-2 20155319『网络对抗技术』Exp4:恶意代码分析
2017-2018-2 20155319『网络对抗技术』Exp4:恶意代码分析
实验目标与基础问题
++1.实践目标++
- 监控你自己系统的运行状态,看有没有可疑的程序在运行。
- 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
- 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
++2.基础问题回答++
- 问:如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 1.使用windows自带的schtasks指令设置批处理任务,每隔一段时间进行监控什么应用程序联网。2.使用sysmon工具。
- 问:如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 用wireshark抓包或者systracer分析恶意软件。
实践过程记录
一、使用schtasks指令监控系统
1.使用schtasks /create /TN netstat19 /sc MINUTE /MO 20 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令创建计划任务netstat19,如下图所示
- TN是TaskName的缩写,我们创建的计划任务名是netstat19;
- sc表示计时方式,我们以分钟计时填MINUTE;
- TR=Task Run,要运行的指令是 netstat
- -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口;
- c:\netstatlog.txt类似于Linux中的重定向,输出将存放在C盘下的netstatlog.txt文件中(自动生成)。
2.在C盘中创建一个netstat5319.bat脚本文件(先创建txt文本文件,使用记事本写入后修改成.bat文件,提供管理员权限移动到C盘)指令如下:
date /t >> c:\netstat.txt
time /t >> c:\netsta.txt
netstat -bn >> c:\netstat.txt
3.打开任务计划程序,可以查看新创建的这个任务:
4.双击这个任务,按下图操作,注意勾选最高权限运行将“程序或脚本”改为我们创建的netstat5319.bat批处理文件,确定即可。
5.在c盘中查看生成的txt文件,参考学姐的博客20144306《网络对抗》MAL_恶意代码分析导入到excel中分析。
二、使用sysmon工具监控系统
- sysmon是微软Sysinternals套件中的一个工具,使用sysmon工具前首先要配置文件。
第一步: 创建配置文件Sysmon20155319.txt,写入自己要记录的项,进程创建、进程创建时间、网络连接等。
<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">chrome.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
第二步: 启动sysmon。
1.下载老师码云的SysinternalsSuite201608压缩包,解压。
2.在命令提示符(管理员)中进入到该目录下。
3.安装sysmon:执行命令sysmon.exe -i C:\5319Sysmon.txt。
4.安装成功截图如下:
第三步: 在事件查看器里查看日志
-
右键进入计算机管理,找到事件查看器。点击“事件查看器”右侧小箭头,选择日志的位置:应用程序和服务日志/Microsoft/Windows/Sysmon/Operational。利用Sysmon具体分析日志的例子我选择了自己实验二中生成的后门r5319.exe进行分析。
-
回连
-
conhost.exe是命令行程序的宿主进程。简单的说他是微软出于安全考虑,在windows 7和Windows server 2008中引进的新的控制台应用程序处理机制。这个好像和后门没什么关系。
-
输入shell获取权限主机调用cmd。
三、使用VirusTotal分析恶意软件
-
把生成的恶意代码放在VirusTotal进行分析如下:
-
可以查看这个恶意代码的基本属性:
-
恶意代码的算法库情况:
四、使用systracer分析恶意软件
-
由于再主机中做快找时间长,我选择在win7虚拟机中进行。
-
在win7虚拟机安装SysTracer软件
-
将木马植入靶机,对靶机注册表、文件等进行快照,保存为Snapshot #1
-
打开kali的msfconsle,靶机运行木马,回连kali,win7下再次快照,保存为Snapshot #2
-
在kali中对靶机进行屏幕截图,win7下再次快照,保存为Snapshot #3
-
在kali中对靶机进行提权操作,win7下再次快照,保存为Snapshot #4
-
点击右下角“Compare”,比较快照的不同之处。
实践总结及体会
本次实验的内容十分丰富,我学习使用了数款用于检测恶意代码的指令或是软件,例如SysTracer、sysmon等。这些工具都能很好地辅助我们对主机进行监控,以发现恶意行为并进行及时处理。通过实验自己深切感受到监控系统的重要性,定期检查监控发现恶意代码!
