2019-2020-2 20175234 赵诗玥 《网络对抗技术》Exp4 恶意代码分析
实践目标
-
监控你自己系统的运行状态,看有没有可疑的程序在运行。
-
是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
-
假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
实验后问题回答
-
1、如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
答:设置计划任务,每隔一定的时间对主机的联网记录进行记录,将记录移动到excel中分析数据,尝试找到统计规律,将多次访问的ip地址拉到站长之家尝试ip查询。也可以使用sysmon工具,通过编辑配置文件,记录相关的日志文件。
-
2、如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
答:采用静态分析的话,可以把程序进程拖动到virustotal扫描参看报错类型。还可以将程序拖动到peid检测加装包情况。若采用动态分析,可以使用systracer工具进行快照对比查看运行改变的注册表、文件等信息,还可以使用Process Explorer工具,监测恶意代码运行时操作情况,还可以使用Wireshark进行抓包分析,监视通信过程。
实践总结与体会
本次实验主要是恶意代码防控。我们在课上了解了不同种类的恶意代码和恶意代码的分析方法,本次实验就对课上的内容做了实践。在这次实践中,我意识到了数据分析的重要性和困难性,了解了恶意代码植入主机的表现,对恶意代码的分析有了思路。但是这重重数据中找到关键的一条是极不容易的,还是希望杀软好好进步,避免手动查杀电脑恶意程序、进程。
实验过程记录
任务一:系统运行监控
利用任务计划程序
- 编写一个bat类型文件,用于存储命令行
date /t 1>>C:\Users\15205\Desktop\netstat5234.txt
time /t 1>>C:\Users\15205\Desktop\netstat5234.txt
netstat -bn
C:\Users\15205\Desktop\netstat5234.txt
-
新建任务,运行任务
-
右键“开始”图标,打开“计算机管理,打开“任务计划程序”,“创建任务”
-
填写名称,勾选最高权限运行,最好勾选不管用户是否登陆都要运行。新建触发器,更改任务执行间隔。新建操作,选择运行的程序(刚写的),可添加参数
netstat -bn > C:\Users\15205\Desktop\netstatlog.txt(脚本文件中包含该命令,可以不写)。单击确定。
-
右键任务名“运行”
-
-
等待任务运行足够长的时间
-
新建excel文件,统计刚收集到的信息。
- 从“数据”标签下“获取外部数据”“自文本”导入数据
- 注意选择“最合适文件类型”:分隔符号,分隔符号选择“空格”和“Tab键”(推荐把":"作为其它加入,区分ip地址和端口),其余默认
-
采用excel自带的数据透视功能,分析数据
-
统计各程序联网次数
这里头“SearchUI.exe”连接网络次数贼多,查了一下原来是Cortana;360chrome.exe联网次数也很多,但是360这个疯狂联网我也不好说啥,也不知道360在干嘛(明明只有一个360浏览器,还没有开启,迷茫.jpg);再者Microsoft.Photos.exe也很显眼,网上浏览时发现该情况在win10系统普遍出现。 -
统计各外部ip地址连接次数
-
-
把外部ip复制到站长之家批量查询ip,就可以看到世界来自各地的连接了
利用sysmon工具
-
下载Sysinternals Suite并解压
-
根据sysmon工具的帮助文档编写配置文件
<Sysmon schemaversion="10.42">
<!--右键Sysmon.exe属性,查看版本号-->
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<ProcessCreate onmatch="exclude">
<Image condition="end with">360chrome.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">360chrome.exe</Image>
</FileCreateTime>
<!--把浏览器的进程都滤掉-->
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<!--滤掉源IP为127.0.0.1的网络连接和目的端口为137的连接-->
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<!--将端口号为80、443的网络连接纳入统计-->
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
-
新建txt文件
20175234.txt,把以上复制到里头去,然后改成改为xml格式 -
以“管理员身份”运行cmd,进入Sysmon.exe所在文件夹
-
Sysmon.exe -i C:\Users\15205\Desktop\20175234zsy.xml安装sysmon
-
点击同意证书后,cmd就会显示如图
-
右键“开始”图标,打开计算机管理,事件查看器,应用程序和服务日志下/Microsoft/Windows/Sysmon/Operational目录,就可以看到sysmon捕获的信息啦
-
找一个事件看一下,主机名啊IP地址啊应用程序啊具体的操作啊就很清楚的被记录下来了
任务二:恶意软件分析
静态分析
- 常见方法:恶意代码扫描、文件格式、加壳识别、反汇编
- linux系统里file+文件的做法大家都熟
- 文件拖到virustotal检测也做了不少回了
- 加壳识别有一个绿色软件PEID(新建用不了网盘,需要自己下一下啦),文件拖动进去就自动检测
点一下首字节后>就可以直接查看反汇编的代码
动态分析
-
常见方法:快照对比,网络监控,动态跟踪调试等
-
Systracer工具使用(建议安装到虚拟机,快照会快很多)
- 对以下五种情况进行快照
- 未将后门程序移入目标机
- 将后门程序移入目标机后
- 启动后门程序实现回连
- kali运行
dir命令 - kali运行
record_mic命令
- 对比快照1、2
info是add添加 - 对比快照2、3,可以看到端口开启情况
还可以看到后门程序运行了http服务,info还是add添加
- 还可以使用view differences list选择监视的项,就可以看到注册表的变化
- 对以下五种情况进行快照
-
用Process Monitor再来监测一下看看
- 注册表的详细变化
- 网络连接情况
- 线程运行情况
- 注册表的详细变化
