20145219《网络对抗》恶意代码分析
2017-03-31 23:01
211 查看
20145219《网络对抗》恶意代码分析
基础问题回答
如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。1、用schtasks指令进行监控,然后查看日志文件。
2、配置sysmon,然后用事件查看器进行查看。
3、用
netstat -n指令可以查看进程联网情况。
如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
1、在不同时间用systracer建立不同的快照,对比查看,可以观察进程对注册表的修改、文件的增删等。
2、还有PE程序,可以查看恶意代码的基本信息和调用的dll库文件。
3、PEiD程序可以查看程序是否加壳了。
实践过程记录
Win IP地址:192.168.1.114(宿舍)或172.20.10.5(手机热点)Kali IP地址:192.168.87.128
检测恶意代码的网站
Win主机上的杀软版本:腾讯电脑管家 V12.3
1、计划任务监控
在C盘根目录下建立一个
netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如图:
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225026727-592193704.png)
netstatlog.bat文件的作用是将记录的联网结果按格式输出到相同目录下的
netstatlog.txt文件中。
用
schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个任务,记录每隔两分钟计算机的联网情况。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225048602-2040813385.png)
一天后查看
netstatlog.txt文件,可以观察到我运行的免杀的恶意程序
5219test2.exe,除此之外我大概看了一下,没什么不明联网情况。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225107508-282040711.png)
2、sysmon工具监控
配置文件,使用老师提供的配置文件,简单修改了一下,把微信、QQ等放进了白名单,保存在了F盘。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225130742-9345098.png)
以管理员身份运行命令行,转到sysmon所在的目录下,使用
sysmon.exe -i 配置文件所在路径指令安装sysmon。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225152914-1360479340.png)
一段时间后,在"运行"窗口输入
eventvwr命令,打开应用程序和服务日志,根据
Microsoft->Windows->Sysmon->Operational路径找到记录文件。我开了不到两天,记录了很多很多条,选择感兴趣的条目,在下方打开详细信息的友好视图,可以查看程序名、使用时间、目的ip、使用端口、通信协议类型等等信息。我开的是我用酷狗音乐下载的时候的联网记录。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225206430-1233557320.png)
3、virscan网站分析
在上次用来查杀程序的网站上,等一段时间后会出现程序的行为分析,点击可以查看到对这个程序的行为描述(包括回连的部分ip和端口号),还有它对注册表是否有增删的情况等等(我查看的是一个未实现免杀的版本)。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225219086-309740826.png)
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225232555-151628955.png)
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225243617-1751312531.png)
4、systracer工具快照分析
我一共建立了5个快照,分别是:没有后门程序时、放入后门程序时、后门程序回连时、执行简单的dir命令时、操控摄像头时这五个阶段。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225303852-1358908043.png)
对比1和2发现:增加了后门程序。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225314555-1622801431.png)
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225327445-1584964132.png)
对比2和3发现:后门程序建立了主机到Kali的tcp连接,进行了回连;后门程序对注册表项进行了修改。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225338524-1813754657.png)
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225418195-1957744400.png)
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225428258-1023490392.png)
对比3和4发现:后门程序对文件、注册表等都进行了增改。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225437820-1125631177.png)
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225447633-1180429890.png)
对比4和5发现:后门程序对文件、注册表等都进行了增改。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225501789-376908923.png)
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225529336-1217141526.png)
(微微吐个小槽,英语不好还不得不用英文软件真痛苦……我找快照找了好久)
5、联网情况分析
在后门程序回连时,在主机的命令行中用
netstat -n命令查看TCP连接的情况,可以发现其中有进行回连的后门程序(我看好多同学用的是TCPview,我觉得我们组长的这个更简单,一个命令就搞定了,方便快捷)。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225544899-168461316.png)
在后门程序回连时,在Kali中打开wireshark,进行捕包分析,查看详细的协议分析发现,回连时后门程序建立了三次握手并进行了数据传输。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225557024-1277017745.png)
6、PEiD分析
PEiD是一个常用的的查壳工具,可以分析后门程序
5219test2.exe是否加了壳。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225610445-1691534097.png)
7、Process Monitor分析
打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序
5219test2.exe,再刷新(绿色箭头图标)一下Process Monitor的界面,用望远镜图标(find)可以指定查找到
5219test2.exe。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225630336-878197088.png)
8、Process Explorer分析
打开Process Explorer,在Process栏点开
explorer.exe前面的小加号,运行后门程序
5219test2.exe,界面上就会出现它的基本信息。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225643430-1831395409.png)
双击后门程序那一行,点击不同的页标签可以查看不同的信息:
TCP/IP页签有程序的连接方式、回连IP、端口等信息。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225654555-2134415138.png)
Performance页签有程序的CPU、I/O、Handles等相关信息。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225702633-187673876.png)
Strings页签有扫描出来的字符串,有些是有意义的,有些是无意义的。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225709742-1707642049.png)
Environment页签可以查看一些变量的值。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225717149-796757193.png)
还有其他的页签,Threads可以查看程序调用的库文件等等,我没有一一截图。
![](https://images2015.cnblogs.com/blog/884666/201703/884666-20170331225828024-1548359867.png)
(我用Process Explorer做的是静态分析,组长还做了回连的部分,然而我是真的不能开两个虚拟机,所以就只是运行了一下,没有回连。)
实验总结与体会
我刚开始做这次实验的时候,只感觉到两个字——茫然。找老师的实验指导——对不起,没有!只有一个教sysmon工具用法的。看已提交同学的过程——怎么老师的评论都是还没做完,继续做?难道都没做完吗?!学霸们都做不出来我要怎么办呐!找组长的博客——对不起,组长也没做完……然后,我想了想(主要是我听说有人从周六做到周三还没做完,再等下去我可能清明就不能愉快地玩耍啦……),不能再等了,还是硬着头皮做吧。先做了sysmon和schtasks的部分,感觉还挺简单的;然后做了systracer的快照部分,因为有同学反应用自己的电脑做照一个小时都结束不了,所以我同时打开了winxp和kali两个虚拟机,然后……就没有然后了……我的电脑带不起来,刚执行了两个命令就彻彻底底地卡死了——我连正常关机都做不到,最后一狠心按了电源键才结束这悲惨的体验/(ㄒoㄒ)/~~(所以我最后还是快照了自己的电脑了,用时还行,也不是特别长)。实验内容的话,这次主要是各种分析,我感觉在这方面还是有所欠缺的,不是特别得心应手,大概是因为基础知识记了又忘、不牢固吧,以后还是该多看看这方面。相关文章推荐
- 20145217《网络对抗》 恶意代码分析
- 20145216史婧瑶 《网络对抗》 恶意代码分析
- 20145120黄玄曦《网络对抗》恶意代码分析
- 20144303《网络对抗》免考项目——恶意代码分析以及检测
- 20145317《网络对抗》Exp4 恶意代码分析
- 20145316许心远《网络对抗》第四次实验:恶意代码分析
- 20145239杜文超《网络对抗》- 恶意代码分析
- 20145225唐振远《网络对抗》Exp4 恶意代码分析
- 20145331魏澍琛《网络对抗》Exp4 恶意代码分析
- 20145338 索朗卓嘎 《网络对抗》 恶意代码分析
- 20145308 《网络对抗》 恶意代码分析 学习总结
- 20145301赵嘉鑫《网络对抗》——恶意代码分析
- 20145231熊梓宏 《网络对抗》 实验四 恶意代码分析
- 20145336张子扬 《网络对抗》 恶意代码分析
- 20145202马超《网络对抗》Exp4 恶意代码分析
- 20145227鄢曼君《网络对抗》恶意代码分析
- 20145232韩文浩《网络对抗》 恶意代码分析
- 20145223 杨梦云 《网络对抗》恶意代码分析
- 20145209 刘一阳 《网络对抗》实验四:恶意代码分析
- 20145310《网络对抗》恶意代码分析