Exp4 恶意代码分析

实践目标

1.是监控你自己系统的运行状态,看有没有可疑的程序在运行。

2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。

3.假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

实践内容

1系统运行监控

(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

参考:schtask与sysmon应用指导

 2恶意软件分析

分析该软件在启动回连、安装到目标、及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件读取、添加、删除了哪些注册表项、读取、添加、删除了哪些文件、连接了哪些外部IP,传输了什么数据(抓包分析)

准备工作

1.下载sysmon工具

Exp4 恶意代码分析

直接去Windows官网下载,只有1.5m,是轻量型工具

2.下载systracer工具

Exp4 恶意代码分析

 

实践过程

一、监控运行系统信息

1.Windows计划任务schtasks

为显示日期与实践,创建 netstatlog.bat文件,并在内部填写以下内容,>>右侧的是该文件所在路径

Exp4 恶意代码分析

修改bat文件内容方法有两种,一种是先新建txt文件,写好内容,再变更后缀名

Exp4 恶意代码分析

注意找不到后缀名记得在状态栏查看功能里,将文件扩展名勾选。

Exp4 恶意代码分析

同时另一种方法,可以直接右键打开方式,选择记事本应用打开即可

准备好netstatlog.bat文件后,进入命令提示符

输入 schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\Users\jiangaomonitor\Desktop\20164304\netstatlog.bat"

Exp4 恶意代码分析

成功创建windows计划,每五分钟就会监测哪些程序重在联网并记录下来。

2.生成系统运行监控日志

用右键管理员运行netstatlog.bat文件会生成netstatlog.txt文件

 Exp4 恶意代码分析

打开txt文件后

Exp4 恶意代码分析

3.用Excel分析监控数据

选用自文件导入文本数据

Exp4 恶意代码分析

选用分隔符号

Exp4 恶意代码分析

Exp4 恶意代码分析

 

 选取第二列协议部分创建数据透视表方便我们分析

 Exp4 恶意代码分析      Exp4 恶意代码分析

最后效果如下

 Exp4 恶意代码分析

 有图可见连接较多的是qq,360浏览器,以及这个wwahost

Exp4 恶意代码分析

二、使用symon软件

1.在目录下建立xml文件,用来设置过滤端口,内容如下

Exp4 恶意代码分析

用管理员模式运行,用sysmon64.exe -i安装sysmon软件

Exp4 恶意代码分析

Exp4 恶意代码分析

 

 Exp4 恶意代码分析

如图所示为安装成功,输入sysmon64.exe -c 20164304.xml

Exp4 恶意代码分析

如图所示,更新了搜索项目

2.进入win10的事件查看器

Exp4 恶意代码分析

 

找到目录下应用程序和服务日志->Microsoft->Windows->Sysmon->Operational

Exp4 恶意代码分析

Exp4 恶意代码分析

这时候返回kali进行msf回连控制,查看事件中是否能够监控的到

Exp4 恶意代码分析

由于设置端口号为4304

Exp4 恶意代码分析

最后可搜索到

Exp4 恶意代码分析

 

 三、使用Systracer分析恶意软件

目标是抓取以下四种情况的状态,并进行比较

1.snapshot#1

自然状态,直接启动take snapshot,等待扫描结束

Exp4 恶意代码分析

2.记录了四个状态,分别是

snapshot#1.不做任何操作,系统自然状态

snapshot#2.启动后门回连

snapshot#4.安装后门到目标主机

snapshot#6.kali提权

Exp4 恶意代码分析

3.通过右下角compare功能和view differences list进行比较

比较1号和2号

Exp4 恶意代码分析

如图所示直接显示的是全部的注册表项变化

所以通过进行精确项目搜索

Exp4 恶意代码分析

可以看到我所投放的后门程序

Exp4 恶意代码分析

文件的变化

 

 

Exp4 恶意代码分析

应用程序与端口号的变化

 比较1号和4号

由于在4号的重点是反弹连接

Exp4 恶意代码分析

仔细查看了端口变化,能够查询到通过4304端口,将本机地址192.168.6.156通过tcp,使用apache http servier作为服务端,向外提供信息

比较1与6号,6号做的是进行简单的redcord_mic操作和getsystem提权操作

Exp4 恶意代码分析

能够看到shell的注册表机器指令发生了改变

Exp4 恶意代码分析

同样检测得到后门文件

Exp4 恶意代码分析

同时在应用程序活动监测中,检查到了大量的后门活动痕迹,包括device设备的调用,用以启用麦克风设备,以及对网络等的conctrol指令调用,表示提权

 Exp4 恶意代码分析

Exp4 恶意代码分析

 

 

实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

监控操作有:1.在空闲时间的异常大量网络端口信息调用,2.大量重复相似系统程序后台运行,3.异常的网络进程文件传输,4.异常时间的大量下载上传流量

监控方法有:1.使用Windows自带的计划任务schtasks,2.sysmon软件,3.systracer软件,4.wireshark

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

wireshark、systracer、processmonitor

实验心得

通过本次实验,针对了本机电脑的后台进程时候有恶意代码进行检查,但手段比较简单,都是以Windows内部自己开发工具为主的,但也避免了其他公司软件移植其他后门的嫌疑。由于计算机数据目前过于庞大,所以,在进行检索和搜查时,使用好过滤器功能是一个非常有必要的能力,能够便于精准的找到目标可能所在文件目录位置,或异常位置文件。虽然本次没有查出其他后门文件,但是依然知道了,做免杀不是一般的难,要从多种渠道上对所有杀软特征行为进行伪装,同时,也给了我用来与木马程序对抗的线索和关键。

 

上一篇:区块链:POA委员会选举机制


下一篇:pom文件标签详解