• 20145240《网络对抗》恶意代码分析


    恶意代码

    基础知识

    • 恶意代码又称恶意软件。这些软件也可称为广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)。是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。有时也称作流氓软件。

    • 恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。

    • 特征:

    (1) 恶意的目的
    (2) 本身是计算机程序
    (3) 通过执行发生作用

    静态分析

    • 本次实验分析的对象是lsj2.exe

    特征库比对

    • 点击“文件行为分析”,可以发现该文件会有加壳、网络连接的行为,自行删除注册表键值的行为

    PEID

    • PEiD是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,但是检测自己生成的52406.exe时却什么都没找到

    • 百度一下UPX发现,这就是一个压缩壳工具

    动态分析

    使用计划任务schtasks

    • 先在C盘目录下建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstat5240.txt文件中,netstatlog.bat内容为:

    • 打开Windows下命令提示符,输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c: etstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务:

    • 在任务计划程序中,新建一个触发器

    • 新建一个操作,并设置参数:>> c: etstat5240.txt

    • 并设置一个名称,给予最高权限

    • 回连后,发现记录了以下回连产生的记录

    sysmon工具查看恶意代码回连前后情况

    • 在Sysmon.exe同目录下建立文件:20145240.txt,并输入老师指导书中给的XML

    • 管理员身份运行CMD,输入指令:Sysmon.exe -i test.xml,进行安装

    • 输入指令:Sysmon.exe -c test.xml,进行配置

    • 设置好上述,可以进入Applications and Services Logs/Microsoft/Windows/Sysmon/Operational查看日志,需等待加载,回连并查找52406.exe

    TCPView查看恶意代码回连前后情况

    • 在xp下运行查看,如下图

    wireshark抓包分析

    • 捕获tcp三次握手以及捕捉到了靶机kali向主机发送文件的数据包

    • 虚拟机IP地址 :192.168.31.128

    使用PE Explorer分析恶意软件

    • 在虚拟机下通过PE explorer打开文件52406.exe,可以查看PE文件编译的一些基本信息,导入导出表等

    SysTracer

    • 1.在正常情况下,我们在主机下快照保存为Snapshot #1;

    • 2.Kali生成相应的后门,将文件通过ncat传到主机下后快照保存为Snapshot #2;

    • 3.Kali开启msf监听,在主机下运行后门程序后快照保存为Snapshot #3;

    • 4.Kali对主机虚拟机进行截图后,在win7下快照保存为Snapshot #4;

    • 5.Kali对主机进行一些权限操作后,在win7下快照保存为Snapshot #5.

    快照结果对比分析:

    • 1&2: 将文件传到主机后发现注册表发生了变化,发现可以桌面新增了文件

    • 2&3:Kali回连成功后注册表发生变化,进程信息发现我们有网络连接

    • 3&4:获取主机截屏后,注册表信息又发生变化

    • 4&5:在进行一些权限操作后,进程信息显示后门程序有联网诉求

    实验后回答问题

    (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

    • 可以对比注册表,进程,端口,服务还有文件等信息,对其进行监控。

    • 可以用到本次实验的工具来分析,如 wireshark捕包、TCPview查看系统的TCP连接信息、sysmon用来监视和记录系统活动、是否有获取权限等行为。

    (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

    • Process Explorer工具,观察里面是否有这个未知程序在运行,并且查看dll等信息。
    • 使用wireshark捕包,重点查看与未知程序进行网络连接IP的包,分析包内的信息是否为敏感信息。

    2.实验总结与体会

    因为电脑内存小虚拟机左一个右一个,实在是很麻烦,但是本次实践时在SysTracer快照时头一次体会到了电脑内存小的好处, 快照了3个的时候出现了问题,只能重装,还好比较快基本上每个照一两分钟就结束了,很感动。一次用这么多工具,刚开始有点分不清每个的功能,也出现了很多问题,实践才是硬道理,还有待努力改进。

  • 相关阅读:
    现在的女生真会装...
    C语言操作注册表 写入 读取信息
    C++ 简单字符串加解密(转载)
    C++ 操作XML文件 使用MSXML.DLL
    C++ vector容器find查询函数
    C++ 共享内存 函数封装
    获取屏幕像素点···
    MFC像窗体坐标位置发送 点击消息
    mfc对话询问窗体
    MFC去掉标题栏
  • 原文地址:https://www.cnblogs.com/20145240lsj/p/6648853.html
Copyright © 2020-2023  润新知