20155307《网络对抗》恶意代码分析
实验过程
-
1、计划任务监控
在C盘根目录下建立一个netstatlog.bat文件,内容如下:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"
指令创建一个任务,记录每隔两分钟计算机的联网情况。现在看一下神奇的两分钟一次的检查,时间截图
-
2、sysmon工具监控
配置文件,使用老师提供的配置文件模板,简单修改,把微信、2345浏览器、QQ等放进了白名单,保存在E盘。同第一步要以管理员身份运行命令行,转到sysmon所在的目录下,使用sysmon.exe -i
配置文件所在路径指令安装sysmon。找到文件夹。右键点击复制地址文本,然后就可以很方便的cd进入了.
在"运行"窗口输入eventvwr命令,打开应用程序和服务日志,根据Microsoft->Windows->Sysmon->Operational路径找到记录文件。
我开着记录了很多很多条,选择感兴趣的条目,在下方打开详细信息的友好视图,可以查看程序名、使用时间、目的ip、使用端口、通信协议类型等等信息。从事件1,事件2,事件3,和事件5都有记录
qq音乐试听记录(事件3)
-
3.systracer注册表分析
首先下载systracer,安装英文版之后再破解,安装中文语言库,之后捕获快照,点击take snapshot来快照,我拍摄了植入后门,运行后门,与目标主机回连,使用后门控制目标主机dir和摄像头的四个快照。
第一张快照我们看一下我的后门5307.exe
第二张快照我们看到运行的5307在回连时产生了很多变化,增加了许多
后面的快照我们会发现一个opened ports,可以看到IP、端口
-
4、联网情况分析
在后门程序回连时,在主机的命令行中用netstat -n命令查看TCP连接的情况,可以发现其中有进行回连的后门程序。并在回连时建立tcp连接
在后门程序回连时,打开wireshark,进行捕包分析,查看详细的协议分析发现,后门程序建立了三次握手并回连时进行了基于IP和端口的连接
-
5、PEiD分析
PEiD是一个常用的的查壳工具,可以分析后门程序是否加了壳,上周刚好有一个UPX加壳的
-
6、Process Monitor分析
打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序5307.exe,再刷新一下Process Monitor的界面,可以指定查找到5307.exe。
用进程树也很容易找到运行的后门5307.exe
-
7、Process Explorer分析
打开Process Explorer,运行后门程序5307.exe,在Process栏可以找到5307.exe
双击后门程序0505.exe那一行,点击不同的页标签可以查看不同的信息,TCP/IP页签有程序的连接方式、回连IP、端口等信息。
Performance页签有程序的CPU、I/O、Handles等相关信息。
Strings页签有扫描出来的字符串。
实验总结与体会
这次实验我主要是参考了乔磊等同学的博客,在磊哥、杰哥、翔哥等同学的帮助下解决了一个又一个的问题。实验所需要的许多软件都由他们下载完毕之后拷给我,虽然都是小软件,我非常感激他们,我的实验之路因此愈发流畅了。刘老师的课安排的比较科学,实验和知识一起讲,比娄老师的课程设计更加有效。我实验中免不了要遇到很多问题,大多数都是我自己认真思考之后,或者问同学、或者自己解决的。我感觉我的实验能力至少上升了一个不大不小的阶,恶意代码的分析能力也可以在有工具的前提下进行一些简单的分析,现在自己一边回连,一边监视着自己的回连时IP地址,端口,感觉很有成就感。