20145226夏艺华 网络对抗技术EXP4 恶意代码分析

20145226夏艺华 网络对抗技术EXP4 恶意代码分析（未完成版）

回答问题

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

· schtasks——设置一个计划任务，指定时间记录主机的联网记录或者是端口开放、注册表信息等等；

· sysmon——配置好想记录事件的文件，可以在事件查看器里找到相关日志文件；

· Process Explorer——监视进程执行情况，查看是否有程序调用了异常的dll库之类的。

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

· Wireshark进行抓包分析，查看该程序联网时进行了哪些操作；

· 使用systracer工具分析某个程序执行前后，计算机注册表、文件、端口的一些变化情况。

实践过程记录

恶意代码静态分析

一、使用virscan分析恶意软件

在病毒分析网站上分析之前我们自己生成的后门程序，发现有5/39的杀软能够查杀到这个恶意代码



点击文件行为分析可以看到有：













各种各样的可疑行为。。

二、使用PE Explore分析恶意软件

使用PE Explore打开可执行文件，可以看出文件的编译时间是2017年3月22日01：11：30，链接器版本号为10.0



用import viewer来看一下这个文件的导入表中包含的dll文件：

ADVAPI32.dll文件是一个高级API应用程序接口服务库的一部分，可以实现对注册表的操控（exo me？？）

WSOCK32.dll和WS2_32.dll用于创建套接字，也就是说会发生网络连接（连网干啥。。。）

PE Explore也可以反汇编



三、PEiD

我们使用PEiD来看一下这个程序有没有加壳或是用什么来编译的：



如图所示，没有加壳的软件会在那里都会直接显示编译器名称，vc8.0，同样的，链接器版本还是10.0，没毛病。

下图为拓展信息：



与此同时，PEiD也能反汇编，如图：



也有节查看器：



还可以看到更多细节，虽然暂时并不懂：

恶意代码动态分析

一、Tcpview

在附件中下载的并不兼容，自己下载好了一个～

Tcpview用于查看进行tcp连接的进程信息：







不看不知道，一看吓一跳，我感觉我的虚拟机，啥也没干啊。。。

二、sysmon

sysmon微软Sysinternals套件中的一个工具，首先在C:\windows\system32\文件夹下找到cmd.exe,右键以管理员身份运行，在C:\Sysinternals目录下安装，如图所示：









Sysmon started!

启动之后，便可以到控制面板-系统和安全-事件查看器里查看相应的日志了～



看了一些具体的日志内容，很详细～

· 事件1:具体时间呀进程ID呀啥的都有，这个是IE浏览器的一个记录



· 事件2:这是chrome浏览器的一个记录



也可以看到详细信息，但是这个时间段宝宝并没有开电脑！！word哥chrome干了啥！



· 事件3:我只看到了DestinationHostname是XiaYihua...只有我的主机名是这个，虚拟机都不是的！



三、schtasks

1.建立netstatlog.bat文件，用于记录联网内容，文件内容如下：



2.在命令行中输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"创建任务，每隔两分钟记录联网内容，创建成功后可以在任务管理计划中查看：



3.打开netstatlog.txt文件查看记录内容：



OK啦！

四、SysTracer

· 建立以下3个快照：

1.一开始在目标主机上进行快照保存为Snapshot #1；

2.在虚拟机开启监听的情况下，在目标主机运行后门程序后快照保存为Snapshot #2；



3.在虚拟机对目标主机进行截图后在目标主机中快照保存为Snapshot #3；



· 然后使用compare对快照结果进行比对分析：



（1）快照1和快照2：成功回连之后发现增加了一个注册表键注册表信息有变化





多出来了一个dll文件

（2）快照2和快照3：获取目标主机摄像头后快照





发现有网络诉求

五、wireshark

通过kali（IP地址192.168.88.132）对win7（IP地址192.168.88.137）虚拟机进行远程控制，使用wireshark进行抓包，抓到了虚拟机与主机的三次握手包，图中[FIN,ACK]的包就是传输的数据包。具体看一下数据包的内容，端口是226，使用IPv4协议，如下图所示：



除了226端口，还有4444等端口的很多信息：



wireshark还捕捉到好多虚拟机和其他IP地址的连接：



图只是一部分，我的天哪，我啥也没干啊。。。网络连接好频繁。

实验总结与体会

这次的实验真的是太艰难了。。。。我本来在xp虚拟机上做的，截图用微信发了之后就删掉了然后聊天记录一不小心手滑被清了，手动再见。只能在win7虚拟机上重新做一遍了。

之前并没有想到要用到的之前的实验生成的exe，然后就又重做了一遍免杀实验。。。 [smile]实验一个顶三个啊哭哭。

随着实验的深入，感觉自己平时用电脑的时候越来越慌。。。再也不能愉快地输密码了，感觉随时都有隐藏的进程在暴露我的个人信息。