20145219《网络对抗》恶意代码分析
基础问题回答
-
如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
1、用schtasks指令进行监控,然后查看日志文件。
2、配置sysmon,然后用事件查看器进行查看。
3、用
netstat -n指令可以查看进程联网情况。 -
如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
1、在不同时间用systracer建立不同的快照,对比查看,可以观察进程对注册表的修改、文件的增删等。
2、还有PE程序,可以查看恶意代码的基本信息和调用的dll库文件。
3、PEiD程序可以查看程序是否加壳了。
实践过程记录
- Win IP地址:192.168.1.114(宿舍)或172.20.10.5(手机热点)
- Kali IP地址:192.168.87.128
- 检测恶意代码的网站
- Win主机上的杀软版本:腾讯电脑管家 V12.3
1、计划任务监控
在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如图:
netstatlog.bat文件的作用是将记录的联网结果按格式输出到相同目录下的netstatlog.txt文件中。
用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:
etstatlog.bat"指令创建一个任务,记录每隔两分钟计算机的联网情况。
一天后查看netstatlog.txt文件,可以观察到我运行的免杀的恶意程序5219test2.exe,除此之外我大概看了一下,没什么不明联网情况。
2、sysmon工具监控
配置文件,使用老师提供的配置文件,简单修改了一下,把微信、QQ等放进了白名单,保存在了F盘。
以管理员身份运行命令行,转到sysmon所在的目录下,使用sysmon.exe -i 配置文件所在路径指令安装sysmon。
一段时间后,在"运行"窗口输入eventvwr命令,打开应用程序和服务日志,根据Microsoft->Windows->Sysmon->Operational路径找到记录文件。我开了不到两天,记录了很多很多条,选择感兴趣的条目,在下方打开详细信息的友好视图,可以查看程序名、使用时间、目的ip、使用端口、通信协议类型等等信息。我开的是我用酷狗音乐下载的时候的联网记录。
3、virscan网站分析
在上次用来查杀程序的网站上,等一段时间后会出现程序的行为分析,点击可以查看到对这个程序的行为描述(包括回连的部分ip和端口号),还有它对注册表是否有增删的情况等等(我查看的是一个未实现免杀的版本)。
4、systracer工具快照分析
我一共建立了5个快照,分别是:没有后门程序时、放入后门程序时、后门程序回连时、执行简单的dir命令时、操控摄像头时这五个阶段。
对比1和2发现:增加了后门程序。
对比2和3发现:后门程序建立了主机到Kali的tcp连接,进行了回连;后门程序对注册表项进行了修改。
对比3和4发现:后门程序对文件、注册表等都进行了增改。
对比4和5发现:后门程序对文件、注册表等都进行了增改。
(微微吐个小槽,英语不好还不得不用英文软件真痛苦……我找快照找了好久)
5、联网情况分析
在后门程序回连时,在主机的命令行中用netstat -n命令查看TCP连接的情况,可以发现其中有进行回连的后门程序(我看好多同学用的是TCPview,我觉得我们组长的这个更简单,一个命令就搞定了,方便快捷)。
在后门程序回连时,在Kali中打开wireshark,进行捕包分析,查看详细的协议分析发现,回连时后门程序建立了三次握手并进行了数据传输。
6、PEiD分析
PEiD是一个常用的的查壳工具,可以分析后门程序5219test2.exe是否加了壳。
7、Process Monitor分析
打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序5219test2.exe,再刷新(绿色箭头图标)一下Process Monitor的界面,用望远镜图标(find)可以指定查找到5219test2.exe。
8、Process Explorer分析
打开Process Explorer,在Process栏点开explorer.exe前面的小加号,运行后门程序5219test2.exe,界面上就会出现它的基本信息。
双击后门程序那一行,点击不同的页标签可以查看不同的信息:
TCP/IP页签有程序的连接方式、回连IP、端口等信息。
Performance页签有程序的CPU、I/O、Handles等相关信息。
Strings页签有扫描出来的字符串,有些是有意义的,有些是无意义的。
Environment页签可以查看一些变量的值。
还有其他的页签,Threads可以查看程序调用的库文件等等,我没有一一截图。
(我用Process Explorer做的是静态分析,组长还做了回连的部分,然而我是真的不能开两个虚拟机,所以就只是运行了一下,没有回连。)
实验总结与体会
我刚开始做这次实验的时候,只感觉到两个字——茫然。找老师的实验指导——对不起,没有!只有一个教sysmon工具用法的。看已提交同学的过程——怎么老师的评论都是还没做完,继续做?难道都没做完吗?!学霸们都做不出来我要怎么办呐!找组长的博客——对不起,组长也没做完……然后,我想了想(主要是我听说有人从周六做到周三还没做完,再等下去我可能清明就不能愉快地玩耍啦……),不能再等了,还是硬着头皮做吧。先做了sysmon和schtasks的部分,感觉还挺简单的;然后做了systracer的快照部分,因为有同学反应用自己的电脑做照一个小时都结束不了,所以我同时打开了winxp和kali两个虚拟机,然后……就没有然后了……我的电脑带不起来,刚执行了两个命令就彻彻底底地卡死了——我连正常关机都做不到,最后一狠心按了电源键才结束这悲惨的体验/(ㄒoㄒ)/~~(所以我最后还是快照了自己的电脑了,用时还行,也不是特别长)。实验内容的话,这次主要是各种分析,我感觉在这方面还是有所欠缺的,不是特别得心应手,大概是因为基础知识记了又忘、不牢固吧,以后还是该多看看这方面。