20145229吴姗珊 《网络对抗技术》 恶意代码分析
相关知识
基础问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 由wireshark捕包总结可以通过对流量,端口开放进行监控,因为恶意代码很重要的就是它会运用网络资源进行一些数据传输,所以对流量的监控是非常有必要的
- 通过之前的静态分析总结而来我们可以对注册表是否增删修改,日志信息是否有异常进程入手进行监控
- 通过PE explore可以看到文件的头信息,节头,数据目录,可以从导入库中分析是否是恶意代码
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 首先可以去http://www.virscan.org上进行扫描,有一个文件行为分析,可以看个大概
- 用PEID查看是否加壳
- 用systracer可以进行快照,然后对比哪里发生变化进而进行研究
- 用wireshark进行流量抓包观察其程序动向
实验体会
这次的实验主要是利用之前生成的后门程序,用各种软件进行静态动态分析,在我看来最有趣的地方就是我知道它是一个后门程序,我用各种工具从注册表,是否加壳等方面入手,了解了它是怎样对我的电脑进行破坏的,虽然对电脑真的肉疼,但是过程还是很有意思的,觉得自己在剖析一个攻击者的手法,比较偏向于实际应用,引导我们一步步去发现谁是恶意代码,恶意代码是如何暴露了自己,过程很有趣。
好的说一点其他的问题,电脑要哭了!!每天都不给开防火墙不给杀软,每天都给它开后门!!太卡了!!所以后面的一些实验都是用手机拍图,希望不要介意,电脑太卡
基础知识
恶意代码
- 恶意代码(Unwanted Code)是指没有作用却会带来危险的代码,一个最安全的定义是把所有不必要的代码都看作是恶意的,不必要代码比恶意代码具有更宽泛的含义,包括所有可能与某个组织安全策略相冲突的软件。
- 恶意代码又称恶意软件。这些软件也可称为广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)。是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。有时也称作流氓软件。
恶意代码分析
-
静态分析基础技术(计算程序MD5值,检索M5值获取信息/查看可疑代码资源节获取特征)
-
动态分析基础技术(配置“沙箱”环境/Dll类型文件的启动运行)
-
本次分析的为msf生成的后门软件,就是实验二里生成的,当时删掉了所以重新生成了一个ss5229.exe
-
静态分析
1.特征库比对,将ss5229.exe提交至http://www.virscan.org进行分析,如下图所示
被20个杀软检测出来了,很明显是恶意软件,接下来查看具体行为分析
-
分析:
如图,通过加壳,删除注册表,创建套接字连接,检测自身是否被调试都可以分析得出是一个恶意软件
2.查看PE文件头中包含的代码信息
- 进入PE后打开ss5229.exe,查看了文件头信息,节头,数据目录,以及引入的库
分析:
-
前面两个也没看出啥东西来,百度也没什么问题,百度了无数次发现了引入的库有问题
-
如下图,advapi32.dll跟注册表操作有关,这就很尴尬了,至少有风险
-
wsock32.dll,Windows Sockets应用程序接口,创建连接危险
-
advapi32.dll也牵涉到注册表的操作,日志的修改,所以也是高危引用库
-
前面两个.dll库没有大问题,msvcrt.dll是微软在windows操作系统中提供的C语言运行库执行文件;kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理
-
PEiD
使用PEiD来分析我们的ss5229.exe是否加壳或者用什么编译的
通过上图我们看到它啥都没有查出来,这很尴尬,通过百度说它啥编译器的问题,那我们从另一个角度入手,反汇编,如下图
-
动态分析
1.SysTracer进行分析 -
首先在kali中进行监听,保存为Snapshot #1,听同学说她快照照了20秒就结束了,反正我现在照了15分钟了还没结束,呵呵呵
好的,经过了17分钟终于结束
-
现在点击ss5229.exe进行回连,成功后进行Snapshot #2 ,就不进行截图了,电脑真的太卡了,待会附对比图
-
现在对靶机进行截图,然后进行快照Snapshot #3
-
完成了所有的快照,接下来进行对比,1和2对比很明显的有ss5229.exe
-
对比2,3的注册表以及程序,明显有了删除的痕迹,踪迹非常明显
2.wireshark流量捕包
- 在kali和靶机之间进行通信时,我们使用wireshark来捕包进行数据分析
kali ip:192.168.222.128 主机ip:192.168.2.123 - 如图所示我们捕获到了大量的三次握手的包(由于截图来回太卡了所以用手机拍了,不是特别清晰)
- 当我这边已经回连成功进行截频的时候,wireshark捕到大量包
3.任务计划(电脑太卡了截图工具崩了!!!所以拍照了!!)
-
进入计算机/管理/任务计划,然后创建新的任务计划,命名netstat5229,触发器设置为5分钟执行一次
-
c盘下创建文件夹5229,编写脚本为netstat5229.txt,保存后后缀改为bat
-
将任务计划操作设为我们的netstat5229.bat,参数为 >>c:5229 etstat5229.txt
-
运行任务生成5229.txt
-
然后我们就可以看txt里面的东西了,上面就是说我没有权限然后啥都不给我看,然后看有些同学的博客就说在新建任务那里点最高权限就可以,天哪噜我设置了还是没有权限,所以我打开了百度!!要右键点击管理员权限!!没有权限的朋友让我看到你们的双手,所以怎么说呢,遇到问题还是得自己解决,毕竟每个人电脑不一样遇到的问题不一样所以要独立思考呀
-
说到解决问题的方面,好多同学用的NAT模式但是有的时候虚拟机崩了然后它就没有ip了!!!提供一个解决的方法,请点击你电脑里服务,查看VMWARE那几个有没有运行,然后你手动运行一般就解决了没有ip的问题,都不用重启!非常方便!
4.sysmon
- 安装的地方最重要的就是管理员权限的问题,使用右键在菜单里选择管理员权限
- 然后输入命令,后配置xml,然后跳出来错误,黑人问号,百度了好多,翻遍了同学的博客都没有得到解决