Exp4 恶意代码分析 20164302 王一帆

1.实践目标

1.1监控自己系统的运行状态,看有没有可疑的程序在运行。

1.2分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。

1.3假定将来工作中觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

2.实践内容

2.1系统运行监控(2分)

(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

2.2恶意软件分析(1.5分)

分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。

该后门软件

(3)读取、添加、删除了哪些注册表项

(4)读取、添加、删除了哪些文件

(5)连接了哪些外部IP,传输了什么数据(抓包分析)

3.报告内容

3.1实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

使用Sysmon,编写配置文件,记录有关的系统日志

使用wireshark抓取数据包,进行分析

使用Process Explorer工具,监视进程执行情况。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

通过schtasks指令监控系统,判断是否有可疑连接。

    使用systracer工具进行快照,对比注册表、文件等信息,分析恶意软件。

3.2实验总结与体会

本次实验的内容非常丰富,在操作上没有之前的实验那么复杂,主要复杂的地方在下载安装软件并利用这些软件分析恶意代码,了解和使用了不少用于检测恶意代码的指令和软件,自己明显在数据分析的过程中感觉到了吃力,看不懂,不知道从哪里下手,有了不少收获,但也看到了自己在能力方面的不足。

4.实践过程记录

4.1使用schtasks指令监控系统

以管理身份运行命令行,创建计划任务(TN是TaskName的缩写,后跟创建的计划任务名;sc表示计时方式,这里以分钟计时填MINUTE;TR=Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口。)

schtasks /create /TN netstat4302 /sc MINUTE /MO /TR "cmd /c netstat -bn > c:\netstat4302.txt"

Exp4 恶意代码分析 20164302 王一帆

这样每五分钟就会监测哪些程序重在联网并记录下来。

在C盘中创建一个netstat4302.bat脚本文件(可先创建txt文本文件,使用记事本写入后,通过修改文件名来更改文件格式)

在脚本文件中写入以下命令

date /t >> c:\netstat4302.txt
time /t >> c:\netstat4302.txt
netstat -bn >> c:\netstat4302.txt

Exp4 恶意代码分析 20164302 王一帆

通过搜索打开”任务计划程序“,看到我们新创建的这个任务,对其进行配置。

Exp4 恶意代码分析 20164302 王一帆

选中该任务,在所选项中点击“属性”进行配置,点击操作并编辑,将“程序或脚本”改为创建netstat4302.bat,并将“添加参数”清空

我在第一次操作时,没有将此处的参数清空,后面的实践中出现了,无法自动更新txt文件的情况,将参数清空后问题得以解决,但是我也不太清楚究竟是原因,个人感觉是“添加参数”优先级高于“设置程序或脚本”,纯属猜测。。。

Exp4 恶意代码分析 20164302 王一帆

取消勾选“电源”中的选项,否则改用电池电源时就会停止任务。

Exp4 恶意代码分析 20164302 王一帆

需要使用最高权限运行该任务

Exp4 恶意代码分析 20164302 王一帆

等一段时间之后,在C盘中的txt文件中,就可以看到连接记录

Exp4 恶意代码分析 20164302 王一帆

刚开始内容比较少,可以多等几个小时,等有一定的量再进行分析。

Exp4 恶意代码分析 20164302 王一帆

新建一个Excel工作表,导入netstat4302.txt。

Exp4 恶意代码分析 20164302 王一帆

按照如下步骤进行

Exp4 恶意代码分析 20164302 王一帆

Exp4 恶意代码分析 20164302 王一帆

Exp4 恶意代码分析 20164302 王一帆

成功导入之后,就是这个样子。

Exp4 恶意代码分析 20164302 王一帆

然后通过“数据透视工具”,可以有一个有较直观的结果。

Exp4 恶意代码分析 20164302 王一帆

大部分不知道具体干什么的,简单查一下前几个看看。

Exp4 恶意代码分析 20164302 王一帆

我用的杀毒软件就是金山毒霸,看来正常,没什么问题。

Exp4 恶意代码分析 20164302 王一帆

百度百科查不到,随便找了一个百度知道,我个人感觉应该是我用的Win10自带的浏览器Microsoft Edge有关,但是后面有MicrosoftEdge.exe的程序,这个多CP的不清楚。。。

wps.exe和QQ.exe应该是当时打开的WPS和QQ。

Exp4 恶意代码分析 20164302 王一帆

没找到百度百科,但是大概知道是什么了,原来是小娜,个人觉得小娜在某些时候还是挺方便的,对于我这种存东西比较凌乱的人来说,hhh,看这个数量,也说明我用得不少了。

Skype,算是微软自带的聊天软件吧,但我没怎么用过,什么时候听说不太安全来着,看样子是不怎么安全,我这个期间都没有用它,居然还有不少连接。。。

vmare.exe可以过

Exp4 恶意代码分析 20164302 王一帆

恩,是的,我电脑上同时装了金山毒霸和电脑管家的人。。。分析差不多了,下一步。

4.2使用sysmon工具监控系统

sysmon是微软Sysinternals套件中的一个工具,使用sysmon工具前首先要配置文件。

首先要下载,我是从别人的博客里的链接下载

一键安装命令(需要以管理员身份运行cmd): sysmon -accepteula -i -n

Exp4 恶意代码分析 20164302 王一帆

创建配置文件20164302.xml

<Sysmon schemaversion="4.20">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad> <NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<Image condition="end with">firefox.exe</Image>
<SourcePort condition="is"></SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
<DestinationPort condition="is"></DestinationPort>
<DestinationPort condition="is"></DestinationPort>
</NetworkConnect> <CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">firefox.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread> <ProcessCreate onmatch="include">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<Image condition="end with">firefox.exe</Image>
</ProcessCreate> <FileCreateTime onmatch="exclude" >
<Image condition="end with">firefox.exe</Image>
</FileCreateTime> <FileCreateTime onmatch="include" >
<TargetFilename condition="end with">.tmp</TargetFilename>
<TargetFilename condition="end with">.exe</TargetFilename>
</FileCreateTime> </EventFiltering>
</Sysmon>

Exp4 恶意代码分析 20164302 王一帆

将sysmon按照修改好的配置文件进行更新, sysmon -c C:\.xml .

Exp4 恶意代码分析 20164302 王一帆

通过搜索打开“事件查看器”,在应用程序和服务日志->Microsoft->Windows->Sysmon->Operational中,可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等。

Exp4 恶意代码分析 20164302 王一帆

运行一个后门,kali回连一下。

Exp4 恶意代码分析 20164302 王一帆

搜索一下。

Exp4 恶意代码分析 20164302 王一帆

真的找到了20164302_backdoor.exe的记录,通过详细信息可以看到这个后门映像文件的具体位置、源IP和端口、目的IP和端口等。

Exp4 恶意代码分析 20164302 王一帆

4.3使用VirusTotal分析恶意软件

把生成的恶意代码放在VirusTotal进行分析,基本情况如下:

Exp4 恶意代码分析 20164302 王一帆

查看其基本信息(如:MD5值、SHA-1值、文件类型、TRiD值 [TRiD通过读取文件头,根据特征码进行文件类型匹配]、需要的dll库)

Exp4 恶意代码分析 20164302 王一帆

Exp4 恶意代码分析 20164302 王一帆

Exp4 恶意代码分析 20164302 王一帆

4.4使用Process Monitor分析恶意软件

下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon

(1) 打开软件,可以看出其对各个进程的详细记录

Exp4 恶意代码分析 20164302 王一帆

因为跟学号相关的后门程序太多了,为了好找一点,重新命名了名字1234567890.exe,找到后门,发现它进行了创建文件、控制文件系统等操作,打开详细信息,发现运用的dll库的描述与VirusTotal网站类似。

Exp4 恶意代码分析 20164302 王一帆

4.5使用Process Explorer分析恶意软件

下载地址:https://process-explorer.en.softonic.com

靶机运行木马,回连攻击机时,我们可以看到Process Explorer对其进行的记录(查看其详细信息,可发现攻击机的IP和端口号)

Exp4 恶意代码分析 20164302 王一帆

4.6使用PEiD分析恶意软件

PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。

先找一个第二次实验生成的,没有加壳的木马,其检测结果如下

Exp4 恶意代码分析 20164302 王一帆

使用UPX加壳后,PEiD成功检测出了加壳的相关信息。

Exp4 恶意代码分析 20164302 王一帆

4.7使用systracer分析恶意软件

下载SysTracer工具

点击右侧的take snapshot,存储快照

快照一:未移植后门程序,保存为Snapshot #1

快照二:移植后门程序,保存为Snapshot #2

快照三:运行后门程序并在kali中实现回连,保存为Snapshot #3

快照四:在kali中使用dir、ls指令,保存为Snapshot #4

快照五:在kali中提权,保存为Snapshot #5

因为windows上的东西太多了,快照照了很久。。。、

Exp4 恶意代码分析 20164302 王一帆

通过右下角的compare键或者View Differences Lists比对各快照,可以选择Only Difference只查看不同的项。因为windows并不是在虚拟机环境下,所以有很多Systracer未授权的地方没法查看。

Exp4 恶意代码分析 20164302 王一帆

可以看到,该后门程序生成了很多文件、目录和键值。还有一些新建连接,其中有与后门程序相关的。

Exp4 恶意代码分析 20164302 王一帆

在Opened Ports中可发现攻击机的IP和端口号。

Exp4 恶意代码分析 20164302 王一帆

注册表项中有以下变化

Exp4 恶意代码分析 20164302 王一帆

上一篇:Windows下Java File对象创建文件夹时的一个"坑"


下一篇:js判断访客来源网址和关键字