2019-2020-2 20175301李锦然《网络对抗技术》Exp4 恶意代码分析#
目录
1.实践目标
(1)任务一:监控你自己系统的运行状态,看有没有可疑的程序在运行
(2)任务二:分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件
(3)任务三:假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质
2.基础知识
2.1 恶意代码的概念与分类
定义:
又称恶意软件,指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。
指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
特征:
恶意的目的
本身是计算机程序
通过执行发生作用
分类:
计算机病毒
蠕虫
后门
特洛伊木马
Rootkit
2.2 Sysmon的使用
Sysmon是微软Sysinternals套件中的一个工具。可以监控几乎所有的重要操作。
基本操作可以描述为三步:
确定要监控的目标
写好配置文件
启动sysmon
3.实验步骤
3.1监控系统运行
首先使用指令
schtasks /create /TN netstat5313 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:
etstat5301.txt"
创建任务。
其中
TN:Task Name,本例中是20175301netstat
SC: SChedule type,本例中是MINUTE,以分钟来计时
MO: MOdifier
TR: Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口
指的是每一分钟检测一次进程,最后定向到netstat5301.txt文件中。
打开文件可以看到监测的进程(我这电脑都是什么奇怪的进程)
然后在C盘下建一个文件c:
etstatlog.bat,内容为:
date /t >> c:
etstatlog.txt
time /t >> c:
etstatlog.txt
netstat -bn >> c:
etstatlog.txt
在计算机管理中找到任务
找到任务,点击属性,编辑,参数要清零,常规中设置最高权限运行
稍微过一会儿再来看
把数据使用使用EXCAL汇总
太少了,又等了半个小时
DingTalk很显眼
分析一下数据
[MicrosoftEdgeCP.exe] win10操作系统 150
[nvcontainer.exe] 英伟达显卡 98
[svchost.exe] win10系统文件 54
[baidupinyin.exe] 百度拼音 53
[DingTalk.exe] 钉钉 49
[logitechg_discord.exe]罗技鼠标驱动 49 这个这么高有点奇怪,驱动不需要联网
[SearchUI.exe] 小娜,一个搜索进程 49
WpnService win10自动更新检测 49
[Video.UI.exe] win10视频播放工具 32
[SGTool.exe] 搜狗输入法 11
[EXCEL.EXE] excel 7
[ldnews.exe] 模拟器广告 3
[SDXHelper.exe] office 3
CryptSvc 认证服务 2
DiagTrack win10 1
没发现木马,有点失望
3.2 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
从官网下载sysmon
创建配置文件sysmon20175301.txt
白名单里面加一个谷歌,端口加一个5301
安装
win+X打开事件查看器
用虚拟机运行后门程序打开cmd
可以找到后门程序
其中信息很多,包括端口号,ip地址等
3.3恶意软件分析-静态
1 VirusTotal
简单实用
一段时间没用又多了
2 查壳工具
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470种PE文档的加壳类型和签名。
没壳的找不到,有壳的就行
3.4恶意软件分析-动态
1 sysmon
2 wireshark
使用wireshark抓包
向win发送的dir请求
第二个包中有数据,第三个包ack确认收到
实验中遇到的问题
没问题
问题回答
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
静态分析:没有主体的静态分析有点难,还是靠扫描。
动态分析:schtasks,wireshark不间断监视。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
peid查看壳,用sysmon可以查看该进程创建了哪些日志文件。