20155307《网络对抗》恶意代码分析

实验过程

  • 1、计划任务监控

在C盘根目录下建立一个netstatlog.bat文件,内容如下:

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个任务,记录每隔两分钟计算机的联网情况。现在看一下神奇的两分钟一次的检查,时间截图

  • 2、sysmon工具监控

配置文件,使用老师提供的配置文件模板,简单修改,把微信、2345浏览器、QQ等放进了白名单,保存在E盘。同第一步要以管理员身份运行命令行,转到sysmon所在的目录下,使用sysmon.exe -i 配置文件所在路径指令安装sysmon。找到文件夹。右键点击复制地址文本,然后就可以很方便的cd进入了.

在"运行"窗口输入eventvwr命令,打开应用程序和服务日志,根据Microsoft->Windows->Sysmon->Operational路径找到记录文件。

我开着记录了很多很多条,选择感兴趣的条目,在下方打开详细信息的友好视图,可以查看程序名、使用时间、目的ip、使用端口、通信协议类型等等信息。从事件1,事件2,事件3,和事件5都有记录
qq音乐试听记录(事件3)

  • 3.systracer注册表分析

首先下载systracer,安装英文版之后再破解,安装中文语言库,之后捕获快照,点击take snapshot来快照,我拍摄了植入后门,运行后门,与目标主机回连,使用后门控制目标主机dir和摄像头的四个快照。

第一张快照我们看一下我的后门5307.exe

第二张快照我们看到运行的5307在回连时产生了很多变化,增加了许多

后面的快照我们会发现一个opened ports,可以看到IP、端口

  • 4、联网情况分析

在后门程序回连时,在主机的命令行中用netstat -n命令查看TCP连接的情况,可以发现其中有进行回连的后门程序。并在回连时建立tcp连接

在后门程序回连时,打开wireshark,进行捕包分析,查看详细的协议分析发现,后门程序建立了三次握手并回连时进行了基于IP和端口的连接

  • 5、PEiD分析

PEiD是一个常用的的查壳工具,可以分析后门程序是否加了壳,上周刚好有一个UPX加壳的

  • 6、Process Monitor分析

打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序5307.exe,再刷新一下Process Monitor的界面,可以指定查找到5307.exe。

用进程树也很容易找到运行的后门5307.exe

  • 7、Process Explorer分析

打开Process Explorer,运行后门程序5307.exe,在Process栏可以找到5307.exe
双击后门程序0505.exe那一行,点击不同的页标签可以查看不同的信息,TCP/IP页签有程序的连接方式、回连IP、端口等信息。

Performance页签有程序的CPU、I/O、Handles等相关信息。

Strings页签有扫描出来的字符串。

实验总结与体会

这次实验我主要是参考了乔磊等同学的博客,在磊哥、杰哥、翔哥等同学的帮助下解决了一个又一个的问题。实验所需要的许多软件都由他们下载完毕之后拷给我,虽然都是小软件,我非常感激他们,我的实验之路因此愈发流畅了。刘老师的课安排的比较科学,实验和知识一起讲,比娄老师的课程设计更加有效。我实验中免不了要遇到很多问题,大多数都是我自己认真思考之后,或者问同学、或者自己解决的。我感觉我的实验能力至少上升了一个不大不小的阶,恶意代码的分析能力也可以在有工具的前提下进行一些简单的分析,现在自己一边回连,一边监视着自己的回连时IP地址,端口,感觉很有成就感。

posted @ 2018-04-17 20:13  专业打劫三十年  阅读(341)  评论(0编辑  收藏  举报