20145219《网络对抗》恶意代码分析

20145219《网络对抗》恶意代码分析

基础问题回答

如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

1、用schtasks指令进行监控，然后查看日志文件。

2、配置sysmon，然后用事件查看器进行查看。

3、用

netstat -n

指令可以查看进程联网情况。

如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

1、在不同时间用systracer建立不同的快照，对比查看，可以观察进程对注册表的修改、文件的增删等。

2、还有PE程序，可以查看恶意代码的基本信息和调用的dll库文件。

3、PEiD程序可以查看程序是否加壳了。

实践过程记录

Win IP地址：192.168.1.114（宿舍）或172.20.10.5（手机热点）

Kali IP地址：192.168.87.128

检测恶意代码的网站

Win主机上的杀软版本：腾讯电脑管家 V12.3

1、计划任务监控

在C盘根目录下建立一个

netstatlog.bat

文件（先把后缀设为txt，保存好内容后记得把后缀改为bat），内容如图：

netstatlog.bat

文件的作用是将记录的联网结果按格式输出到相同目录下的

netstatlog.txt

文件中。

用

schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"

指令创建一个任务，记录每隔两分钟计算机的联网情况。



一天后查看

netstatlog.txt

文件，可以观察到我运行的免杀的恶意程序

5219test2.exe

，除此之外我大概看了一下，没什么不明联网情况。



2、sysmon工具监控

配置文件，使用老师提供的配置文件，简单修改了一下，把微信、QQ等放进了白名单，保存在了F盘。



以管理员身份运行命令行，转到sysmon所在的目录下，使用

sysmon.exe -i 配置文件所在路径

指令安装sysmon。



一段时间后，在"运行"窗口输入

eventvwr

命令，打开应用程序和服务日志，根据

Microsoft->Windows->Sysmon->Operational

路径找到记录文件。我开了不到两天，记录了很多很多条，选择感兴趣的条目，在下方打开详细信息的友好视图，可以查看程序名、使用时间、目的ip、使用端口、通信协议类型等等信息。我开的是我用酷狗音乐下载的时候的联网记录。



3、virscan网站分析

在上次用来查杀程序的网站上，等一段时间后会出现程序的行为分析，点击可以查看到对这个程序的行为描述（包括回连的部分ip和端口号），还有它对注册表是否有增删的情况等等（我查看的是一个未实现免杀的版本）。







4、systracer工具快照分析

我一共建立了5个快照，分别是：没有后门程序时、放入后门程序时、后门程序回连时、执行简单的dir命令时、操控摄像头时这五个阶段。



对比1和2发现：增加了后门程序。





对比2和3发现：后门程序建立了主机到Kali的tcp连接，进行了回连；后门程序对注册表项进行了修改。







对比3和4发现：后门程序对文件、注册表等都进行了增改。





对比4和5发现：后门程序对文件、注册表等都进行了增改。





（微微吐个小槽，英语不好还不得不用英文软件真痛苦……我找快照找了好久）

5、联网情况分析

在后门程序回连时，在主机的命令行中用

netstat -n

命令查看TCP连接的情况，可以发现其中有进行回连的后门程序（我看好多同学用的是TCPview，我觉得我们组长的这个更简单，一个命令就搞定了，方便快捷）。



在后门程序回连时，在Kali中打开wireshark，进行捕包分析，查看详细的协议分析发现，回连时后门程序建立了三次握手并进行了数据传输。



6、PEiD分析

PEiD是一个常用的的查壳工具，可以分析后门程序

5219test2.exe

是否加了壳。



7、Process Monitor分析

打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化，运行一下后门程序

5219test2.exe

，再刷新（绿色箭头图标）一下Process Monitor的界面，用望远镜图标（find）可以指定查找到

5219test2.exe

。



8、Process Explorer分析

打开Process Explorer，在Process栏点开

explorer.exe

前面的小加号，运行后门程序

5219test2.exe

，界面上就会出现它的基本信息。



双击后门程序那一行，点击不同的页标签可以查看不同的信息：

TCP/IP页签有程序的连接方式、回连IP、端口等信息。



Performance页签有程序的CPU、I/O、Handles等相关信息。



Strings页签有扫描出来的字符串，有些是有意义的，有些是无意义的。



Environment页签可以查看一些变量的值。



还有其他的页签，Threads可以查看程序调用的库文件等等，我没有一一截图。



（我用Process Explorer做的是静态分析，组长还做了回连的部分，然而我是真的不能开两个虚拟机，所以就只是运行了一下，没有回连。）

实验总结与体会

我刚开始做这次实验的时候，只感觉到两个字——茫然。找老师的实验指导——对不起，没有！只有一个教sysmon工具用法的。看已提交同学的过程——怎么老师的评论都是还没做完，继续做？难道都没做完吗？！学霸们都做不出来我要怎么办呐！找组长的博客——对不起，组长也没做完……然后，我想了想（主要是我听说有人从周六做到周三还没做完，再等下去我可能清明就不能愉快地玩耍啦……），不能再等了，还是硬着头皮做吧。先做了sysmon和schtasks的部分，感觉还挺简单的；然后做了systracer的快照部分，因为有同学反应用自己的电脑做照一个小时都结束不了，所以我同时打开了winxp和kali两个虚拟机，然后……就没有然后了……我的电脑带不起来，刚执行了两个命令就彻彻底底地卡死了——我连正常关机都做不到，最后一狠心按了电源键才结束这悲惨的体验/(ㄒoㄒ)/~~（所以我最后还是快照了自己的电脑了，用时还行，也不是特别长）。实验内容的话，这次主要是各种分析，我感觉在这方面还是有所欠缺的，不是特别得心应手，大概是因为基础知识记了又忘、不牢固吧，以后还是该多看看这方面。