实践目标

1.是监控你自己系统的运行状态，看有没有可疑的程序在运行。

2.是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。

3.假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

实践内容

1系统运行监控

（1）使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

参考：schtask与sysmon应用指导

 2恶意软件分析

分析该软件在启动回连、安装到目标、及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件读取、添加、删除了哪些注册表项、读取、添加、删除了哪些文件、连接了哪些外部IP，传输了什么数据（抓包分析）

准备工作

1.下载sysmon工具

直接去Windows官网下载，只有1.5m，是轻量型工具

2.下载systracer工具

 

实践过程

一、监控运行系统信息

1.Windows计划任务schtasks

为显示日期与实践，创建 netstatlog.bat文件，并在内部填写以下内容，>>右侧的是该文件所在路径

修改bat文件内容方法有两种，一种是先新建txt文件，写好内容，再变更后缀名

注意找不到后缀名记得在状态栏查看功能里，将文件扩展名勾选。

同时另一种方法，可以直接右键打开方式，选择记事本应用打开即可

准备好netstatlog.bat文件后，进入命令提示符

输入 schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\Users\jiangaomonitor\Desktop\20164304\netstatlog.bat"

成功创建windows计划，每五分钟就会监测哪些程序重在联网并记录下来。

2.生成系统运行监控日志

用右键管理员运行netstatlog.bat文件会生成netstatlog.txt文件

 

打开txt文件后

3.用Excel分析监控数据

选用自文件导入文本数据

选用分隔符号

 

 选取第二列协议部分创建数据透视表方便我们分析

       

最后效果如下

 

 有图可见连接较多的是qq，360浏览器，以及这个wwahost

二、使用symon软件

1.在目录下建立xml文件，用来设置过滤端口，内容如下

用管理员模式运行，用sysmon64.exe -i安装sysmon软件

 

 

如图所示为安装成功，输入sysmon64.exe -c 20164304.xml

如图所示，更新了搜索项目

2.进入win10的事件查看器

 

找到目录下应用程序和服务日志->Microsoft->Windows->Sysmon->Operational

这时候返回kali进行msf回连控制，查看事件中是否能够监控的到

由于设置端口号为4304

最后可搜索到

 

 三、使用Systracer分析恶意软件

目标是抓取以下四种情况的状态，并进行比较

1.snapshot#1

自然状态，直接启动take snapshot，等待扫描结束

2.记录了四个状态，分别是

snapshot#1.不做任何操作，系统自然状态

snapshot#2.启动后门回连

snapshot#4.安装后门到目标主机

snapshot#6.kali提权

3.通过右下角compare功能和view differences list进行比较

比较1号和2号

如图所示直接显示的是全部的注册表项变化

所以通过进行精确项目搜索

可以看到我所投放的后门程序

文件的变化

 

 

应用程序与端口号的变化

 比较1号和4号

由于在4号的重点是反弹连接

仔细查看了端口变化，能够查询到通过4304端口，将本机地址192.168.6.156通过tcp，使用apache http servier作为服务端，向外提供信息

比较1与6号，6号做的是进行简单的redcord_mic操作和getsystem提权操作

能够看到shell的注册表机器指令发生了改变

同样检测得到后门文件

同时在应用程序活动监测中，检查到了大量的后门活动痕迹，包括device设备的调用，用以启用麦克风设备，以及对网络等的conctrol指令调用，表示提权

 

 

 

实验后回答问题

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

监控操作有：1.在空闲时间的异常大量网络端口信息调用，2.大量重复相似系统程序后台运行，3.异常的网络进程文件传输，4.异常时间的大量下载上传流量

监控方法有：1.使用Windows自带的计划任务schtasks，2.sysmon软件，3.systracer软件，4.wireshark

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

wireshark、systracer、processmonitor

实验心得

通过本次实验，针对了本机电脑的后台进程时候有恶意代码进行检查，但手段比较简单，都是以Windows内部自己开发工具为主的，但也避免了其他公司软件移植其他后门的嫌疑。由于计算机数据目前过于庞大，所以，在进行检索和搜查时，使用好过滤器功能是一个非常有必要的能力，能够便于精准的找到目标可能所在文件目录位置，或异常位置文件。虽然本次没有查出其他后门文件，但是依然知道了，做免杀不是一般的难，要从多种渠道上对所有杀软特征行为进行伪装，同时，也给了我用来与木马程序对抗的线索和关键。