• 20155209林虹宇Exp4 恶意代码分析


    Exp4 恶意代码分析

    系统运行监控

    使用schtasks指令监控系统运行

    • 新建一个txt文件,然后将txt文件另存为一个bat格式文件

    • 在bat格式文件里输入以下信息

    • 然后使用管理员权限打开cmd,输入schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c: etstatlog.bat"

    • 建立一个每两分钟记录计算机联网情况的任务,进入控制面板任务计划里查看一下。

    • 查看一下txt文件里面的信息

    • 由于我的是win7抓的联网信息,是一个txt的文件编码问题,我的excel是在mac下的,复制之后全是乱码,我只能用用excel把所有进程的名字过滤出来,然后分析。

    • 这其中有我认识的进程,360进程,迅雷进程,我自己的后门进程,微软的操作系统进程。

    • 有俩进程没有见过,上百度搜索了一下,然后发现是一个迅雷中的程序文件

    • 还有一个百度也不知道是什么物种,这应该就是有问题的东西

    安装配置sysinternals里的sysmon工具,实现日志的分析

    • 在配置文件里输入老师给出的默认代码。

    • 使用sysmon.exe -i 20155209.txt进行安装

    • 在事件查看器下找到Operational,查看其中的日志信息。

    • 查看几个典型的日志信息。

    • 运行netstatlog。bat的事件信息

    • 一个网页上网的事件信息

    • 查找信息中的ip,发现是百度网络

    • 一个360的运行事件信息

    • 查找信息中的ip,是北京市的电信网络

    恶意软件分析

    用virscan网站分析

    • 对一个后门程序进行分析

    • 查看文件行为分析

    • 这是这个程序文件的基本信息

    • 这个网络行为中有设置的回连ip和端口

    • 注册表行为信息

    • 还有两个其他行为的信息

    用systracer工具分析恶意软件

    • 使用实验二的过程,用msf生成最简单的后门,然后攻击win,到回联成功。

    • 使用systracer抓取三个快照,分别是没有被攻击时、攻击回联后、攻击后进行一个拍照。

    • 选取没有被攻击的1快照和被攻击的2快照进行比较

    • 明显的文件变化,就是我拷入win的后门文件

    • 查看改变了的注册表信息,可能是没有权限看不到具体信息,但是可以知道哪些注册表内发生了变化,其中就有shell,应该是有回联后使用了shell

    • 可以看到修改的文件和目录

    • 可以看到连接的kali的ip和端口

    • 可以看到后门启动时运行的dll文件

    • 选取被攻击的快照2和拍照了的快照3

    • 大多变化都差不多,但是有一个可以明显看到使用了多媒体程序服务,表示用了拍照。

    使用wireshark分析恶意软件回连情况

    • 使用wireshark开始抓包,然后开始操作回联,得到wireshark包,截屏有用信息。

    • 可以看到攻击kali的ip和端口号,也有开始回联的三次握手信息。

    使用Process Monitor分析恶意软件

    • 直接找到我的后门软件点开进行查看

    • 可以看到我回联kali设置的端口号,以及运行时需要的dll文件。

    使用Process Explorer分析恶意软件

    • 通过PE explorer打开后门文件,可以查看PE文件编译的一些基本信息,导入导出表等。

    • 查看该文件的基本信息,处理器为i386

    • 查看导入表,查看所用的dll

    使用PEiD分析恶意软件

    • peid可以查看后门文件的加壳信息,可用于分析免杀。

    • 先看一个没有加壳的。

    • 再看一个加过壳的。

    基础问题回答

    • 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
    • 如果感觉正在被攻击可以直接用wireshark抓个包看看。
    • 监控都在干什么,使用schtasks指令,建一个文件,保存所有联网信息,然后分析。
    • 通过修改配置文件,使用sysmon工具,查看相应日志
    • 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
    • 分析方法有好多种,我感觉最简单的就是将文件放到virscan网站上来分析,分析出的东西比较关键,可以看懂。
    • 然后感觉最有效的是用systracer工具,可以抓好多个快照,然后对比快照信息。
  • 相关阅读:
    根据基本表结构及其数据生成SQL语句
    (转)一个DbHelper数据操作类
    解决AJAX中使用UpdatePanel后再用Response.Write();等无法弹出对话框问题 3法
    今天看到的一些软件工程管理的辅助软件
    编写维护状态的自定义WEB服务器控件
    webBrowser.execWB的完整说明
    [导入]在Web.Config中指定页面的基类
    [导入]一处 ADO.NET Entity Framework 的逻辑BUG
    [导入]在后台代码中引入XAML的方法
    选择排序(java版)
  • 原文地址:https://www.cnblogs.com/lhyhahaha/p/8870806.html
Copyright © 2020-2023  润新知