20145305 《网络对抗》恶意代码分析

实践过程及结果截图

使用schtasks指令监控系统运行

大部分都是正常联网的应用，没有发现什么异常，因为我除了打开QQ浏览器在上网，都没有在干其他的事情，所以基本都是浏览器的进程

使用sysmon工具监控系统运行

1.要使用sysmon工具先要配置文件，我直接用的是老师给的配置文件

2.配置好文件之后，对sysmon进行安装

3.启动之后，便可以到事件查看器里查看相应的日志

点击事件属性可以看到详细信息如下

就像上面一样，我仍然这时候只开起了QQ浏览器使用了上网功能，所以大部分都是QQ浏览器的

使用virscan分析恶意软件

这个就是我上次实验所做的后门程序

可以看到其启动回连主机的部分IP地址以及端口号

对注册表键值进行了删除

还有创建事件对象的行为

PE Explorer分析恶意软件

可以看文件编译时间、链接器版本等信息

点击“导入表”（import），可以查看该文件依赖的dll库

msvcrt.dll和KERNEL32.dll属于一般程序在win下都会调用的dll库

WS2_32.dll，是用来创建套接字的dll库，这就需要去仔细分析这个程序有没有网络连接了，这个就比较可疑了

PEiD分析恶意软件

可以使用PEiD打开来查看一下这个程序有没有加壳或是用什么来编译的，当然通过这个我们并没有看出来，按照大家的分析是版本问题？

使用systracer工具分析恶意软件

使用systracer工具建立了4个快照，分别是

4.在主机中没有恶意软件时

1.恶意软件启动回连时

2.Kali对主机进行快照时

3.Kali对主机进行提权操作后

（因为我最后一张才是恢复系统后的，所以顺序有点乱了，不要介意）

对比1&2：注册表的信息发生了变化

好复杂哦

对比2&3：在进行一些权限操作后，进程信息显示后门程序有联网诉求

使用wireshark分析恶意软件回连情况

设置IP过滤格式：ip.src10.43.37.84 or ip.dst10.43.59.200如下图所示，捕捉到了靶机回连kali时通过TCP的三次握手协议过程和靶机kali向虚拟机win7发送文件的数据包

基础问题回答

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

就是配合使用如上面所说的一系列软件和方法来分析啊，当然重点还是得会分析才行啊

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

去网站上扫描分析文件啊、用Wireshark进行抓包分析啊、systracer查看具体进程改变的注册表信息啊、sysmon用来监视和记录系统活动看看日志分析什么的啊、等等一系列上面的

方法如果都能掌握的话，那应该还是可以干很多事情的

实践总结与体会

我发现了，这学期选修了计算机病毒这门课，老师在课上教我们使用了好多工具和方法来分析，正好用在了这次的实验上，果然知识都是联合起来使用的啊，不过要是去分析汇编、

反汇编、还有什么十六进制代码之类的对于我来说还是很烧脑的啊