2019-2020-2 20175330杨璟旭《网络对抗技术》Exp4 恶意代码分析

目录

1.实验目标

2.实验内容

 3.实验步骤

• 使用schtasks设置计划任务
• 使用sysmon工具监控系统
• 使用VirusTotal分析恶意软件
• 使用PEiD分析恶意软件
• 使用PE Explorer分析恶意软件
• 使用wireshark对后门软件进行分析
• 使用Systracer进行分析

4.实验中遇到的问题

5.实验收获与感想

6.问题回答

 

2019-2020-2 20175330杨璟旭《网络对抗技术》Exp4 恶意代码分析

1.实验目标

任务一：监控你自己系统的运行状态，看有没有可疑的程序在运行

任务二：分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件

任务三：假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质

2.实践内容

 

（1）系统运行监控

 

• • 使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

  • 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

 

（2）恶意软件分析

 分析该软件在

 

(1)启动回连

(2)安装到目标机

(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）

该后门软件

（1）读取、添加、删除了哪些注册表项

（2）读取、添加、删除了哪些文件

（3）连接了哪些外部IP，传输了什么数据（抓包分析）

三、实验步骤

1.使用schtasks设置计划任务

step1：输入以下命令

date /t >> c:\netstat5330.txt
time /t >> c:\netstat5330.txt
netstat -bn >> c:\netstat5330.txt

 在C盘中创建netstat5330.bat脚本

 

 

step2：在cmd中输入

schtasks /create /TN netstat5330 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"schtasks /create /TN netstat5330 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

 创建计划任务nestst5330

命令详解：

TN即为TaskName的缩写，后面是任务名netstat5330

sc表示计时方式，MINUTE代表以分钟计时，

TR即Task Run，运行指令是netstat，

b命令为输出可执行文件名，

n的作用是用数字来显示IP和端口，

最后输出重定向，将输出存放在c:\netstatlog.txt文件中。

step3：打开任务计划程序库，找到创立的程序，点击操作->编辑，将程序或脚本改为我们创建的netstat5330.bat文件.

 

 

 

step5：勾选不管用户是否登陆都要运行，使用最高权限

step6：等待一段时间可以在netstat5330.txt文件中可以看到统计信息了

step7：把数据导入到excel分析

 

 

step8：分析数据

• 使用最多的的应用软件：

vmware虚拟机，微信，火狐浏览器，迅雷，steam（毕竟在做实验）.其余没有什么可疑软件

step1：下载Sysinternals。
step2：确定要监控的目标。并信任的程序设置白名单。
step3：在Sysmon所在的目录下创建相应的配置文件sysmon20175330.xml，配置文件如下：

<Sysmon schemaversion="10.42">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
    </ProcessCreate>

    <ProcessCreate onmatch="include">
      <ParentImage condition="end with">cmd.exe</ParentImage>
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>

    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <NetworkConnect onmatch="include">
      <DestinationPort condition="is">80</DestinationPort>
      <DestinationPort condition="is">443</DestinationPort>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">firefox.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

解读：

<Sysmon schemaversion="10.42">

表示Sysmon的版本为10.42版本

 

 

 

exclude表示白名单，即不对标签内的程序进行记录。

include表示黑名单。onmatch表示匹配。

ProcessCreate为进程创建

NetworkConnect表示网络连接

CreateRemote表示远程线程创建。

FileCrete Time表示进程创建时间

step4：以管理员身份打开cmd输入Sysmon.exe -i sysmon20175330.xml

 

 

step5：查看事件查看器，在应用程序和服务日志/Microsoft/Windows/Sysmon/Operational中，可以看到记录的事件。

 

 

3.恶意软件分析

step1：运行之前实验三的后门程序：

 

 

step2：在事件查看器中查看该后门程序的运行记录

 

 

SearchProtocolHost.exe 和 SearchIndexer.exe 是 Windows Vista、Windows 7 的桌面搜索引擎的索引程序，它会在计算机空闲时自动扫描索引位置的文件名、属性信息和给定类别的文件内容，这些索引位置默认包括桌面、收藏夹、开始菜单、系统目录，以及在 Windows 7 中添加到 Libraries 中的目录（Windows Vista 下的用户文件夹，如文档、图片、音乐、视频文件夹），同样也可以作为程序后门来执行。

使用wireshark对后门软件进行分析

 

 

后门程序使用的通信方式为TCP传输。在被植入后门的Windows主机入侵时，主机与虚拟机首先进行了完整的三次握手

使用VirusTotal分析恶意软件

将程序上传到VirusTotal即可获得详细的信息包括大小、 MD5、SHA-1、SHA-256数值以及加密壳类型。

使用PEiD分析恶意软件

PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470 种PE 文档 的加壳类型和签名。

扫描模式：

●正常扫描模式：可在PE文档的入口点扫描所有记录的签名；

●深度扫描模式：可深入扫描所有记录的签名，这种模式要比上一种的扫描范围更广、更深入；

●核心扫描模式：可完整地扫描整个PE文档，建议将此模式作为最后的选择。

 

PEiD内置有差错控制的技术，所以一般能确保扫描结果的准确性。前两种扫描模式几乎在瞬间就可得到结果，最后一种有点慢，原因显而易见。

将实验三中加壳后的后门程序进行扫描

扫描未加壳程序：

描加壳程序：

使用PE Explorer分析恶意软件

功能极为强大的可视化汉化集成工具，可直接浏览、修改软件资源，包括菜单、对话框、字符串表等； 另外，还具备有 W32DASM 软件的反编译能力和PEditor 软件的 PE 文件头编辑功能，可以更容易的分析源代码，修复损坏了的资源，可以处理 PE 格式的文件如：EXE、DLL、DRV、BPL、DPL、SYS、CPL、OCX、SCR 等 32 位可执行程序。该软件支持插件，你可以通过增加插件加强该软件的功能， 原公司在该工具中捆绑了 UPX 的脱壳插件、扫描器和反汇编器.

使用引入功能查看文件引用的动态链接库：

其中系统的内存和管理数据的输入输出操作和中断处理由KERNEL32.dll控制。

msvcrt.dll为微软编译软件的函数库
后门程序都会使用KERNEL32.dll，当KERNEL32.dll被调用应当警惕。

使用Systracer进行分析

step1：下载并安装Systracer

step2：点击take snapshot存储快照。

• 快照一：未移植后门程序
• 快照二：植入后门程序
• 快照三：运行后门程序并在kali中实现回连
• 快照四：执行dir命令

step3：对快照进行对比

对比快照一与快照二，可以看得出增加了后门文件20175330.exe

 

对比快照二与快照三，发现在后门启动后程序20175330.exe出现在了正式运行的程序

同多了许多后门程序增加的dll文件

对比快照三与快照四，发现key_local_machine根键中的内容被修改了。

实验中遇到的问题

实验收获与感想

这次的实验操作难度 不高，主要是在对后门程序的分析上有一些困难，这次实验的重点在于对程序的运行结果，事件日志的分析，开始根本不知道怎么办，后门看了好多同学的博客之后有了大概的方向，中体来说还是很有收获。

问题回答

(1)如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控

• 将怀疑的程序上传到VirusTotal，全部传完即可
• 通过PEiD查看程序是否加壳，加壳即有重大嫌疑
• 通过PE Explorer程序是否引用有关后门的动态链接库
• 通过wireshark查看传输信息时是否有值得怀疑的端口以及目的
• 使用Systracer工具拍摄快照

2)如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

 通过systracer工具查看程序对注册表和文件的修改。

通过Process Explorer工具监控相关进程。