• 2019-2020-2 20175301李锦然《网络对抗技术》Exp4 恶意代码分析


    2019-2020-2 20175301李锦然《网络对抗技术》Exp4 恶意代码分析#

    目录

    1.实践目标

    (1)任务一:监控你自己系统的运行状态,看有没有可疑的程序在运行
    (2)任务二:分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件
    (3)任务三:假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质

    2.基础知识

    2.1 恶意代码的概念与分类

    定义:
    又称恶意软件,指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。
    指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
    特征:
    恶意的目的
    本身是计算机程序
    通过执行发生作用
    分类:
    计算机病毒
    蠕虫
    后门
    特洛伊木马
    Rootkit

    2.2 Sysmon的使用

    Sysmon是微软Sysinternals套件中的一个工具。可以监控几乎所有的重要操作。
    基本操作可以描述为三步:
    确定要监控的目标
    写好配置文件
    启动sysmon

    3.实验步骤

    3.1监控系统运行

    首先使用指令
    schtasks /create /TN netstat5313 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c: etstat5301.txt"创建任务。
    其中
    TN:Task Name,本例中是20175301netstat
    SC: SChedule type,本例中是MINUTE,以分钟来计时
    MO: MOdifier
    TR: Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口
    指的是每一分钟检测一次进程,最后定向到netstat5301.txt文件中。

    打开文件可以看到监测的进程(我这电脑都是什么奇怪的进程)
    然后在C盘下建一个文件c: etstatlog.bat,内容为:

    date /t >> c:
    etstatlog.txt
    time /t >> c:
    etstatlog.txt
    netstat -bn >> c:
    etstatlog.txt
    

    在计算机管理中找到任务

    找到任务,点击属性,编辑,参数要清零,常规中设置最高权限运行

    稍微过一会儿再来看

    把数据使用使用EXCAL汇总

    太少了,又等了半个小时

    DingTalk很显眼
    分析一下数据
    [MicrosoftEdgeCP.exe] win10操作系统 150
    [nvcontainer.exe] 英伟达显卡 98
    [svchost.exe] win10系统文件 54
    [baidupinyin.exe] 百度拼音 53
    [DingTalk.exe] 钉钉 49
    [logitechg_discord.exe]罗技鼠标驱动 49 这个这么高有点奇怪,驱动不需要联网
    [SearchUI.exe] 小娜,一个搜索进程 49
    WpnService win10自动更新检测 49
    [Video.UI.exe] win10视频播放工具 32
    [SGTool.exe] 搜狗输入法 11
    [EXCEL.EXE] excel 7
    [ldnews.exe] 模拟器广告 3
    [SDXHelper.exe] office 3
    CryptSvc 认证服务 2
    DiagTrack win10 1
    没发现木马,有点失望

    3.2 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

    从官网下载sysmon
    创建配置文件sysmon20175301.txt
    白名单里面加一个谷歌,端口加一个5301

    安装

    win+X打开事件查看器

    用虚拟机运行后门程序打开cmd

    可以找到后门程序

    其中信息很多,包括端口号,ip地址等

    3.3恶意软件分析-静态

    1 VirusTotal
    简单实用

    一段时间没用又多了
    2 查壳工具
    PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470种PE文档的加壳类型和签名。
    没壳的找不到,有壳的就行

    3.4恶意软件分析-动态

    1 sysmon
    2 wireshark
    使用wireshark抓包


    向win发送的dir请求

    第二个包中有数据,第三个包ack确认收到

    实验中遇到的问题

    没问题

    问题回答

    (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
    静态分析:没有主体的静态分析有点难,还是靠扫描。
    动态分析:schtasks,wireshark不间断监视。
    (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
    peid查看壳,用sysmon可以查看该进程创建了哪些日志文件。

  • 相关阅读:
    自定义异常
    异常处理
    以圆类 Circle 及立体图形类 Solid 为基础设计圆锥类 Cone
    以圆类 Circle 及立体图形类 Solid 为基础设计圆柱类 Cylinder
    《大道至简:软件工程实践者的思想》读后感
    以点类 Point 及平面图形类 Plane 为基础设计圆类 Circle
    以圆类 Circle 及立体图形类 Solid 为基础设计球类 Sphere
    以点类 Point 及平面图形类 Plane 为基础设计三角形类 Triangle
    设计并实现大数类 BigNum
    支付宝支付(三)—APP支付(alipay.trade.app.pay)
  • 原文地址:https://www.cnblogs.com/lijinran/p/12725024.html
Copyright © 2020-2023  润新知