• 20155324 《网络对抗》恶意代码分析


    20155324 《网络对抗》恶意代码分析

    实验过程

    1、计划任务监控

    在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下:

    出现的问题

    文件名不能改成.bat

    解决:win10默认是不显示后缀名的,只要打开文件夹选项,点击查看并取消勾选上隐藏已知文件类型的拓展名即可。

    netstatlog.bat文件的作用是将记录的联网结果按格式输出到相同目录下的netstatlog.txt文件中。

    schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c: etstatlog.bat"指令创建一个任务,记录每隔两分钟计算机的联网情况。

    这个时候极易出现拒绝访问的提示,我们可以用管理员权限打开命令提示符

    Win10怎么以管理员身份运行CMD命令提示符

    创建任务成功就一直盯着txt文件,列出部分活动链接截图

    现在看一下两分钟一次的检查,时间截图如下:

    2、sysmon工具监控

    配置文件,使用老师提供的配置文件模板,简单修改,把微信、360浏览器、QQ等放进了白名单,保存在了c盘。

    配置好文件之后,要先使用Sysmon.exe -i C:Sysmoncfg.txt指令对sysmon进行安装:

    启动之后,便可以到事件查看器里查看相应的日志:

    我查看了其中一部分事件的详细信息,比如这个事件是之前做计划任务时所创建的:

    事件1(dllhost进程):

    事件2(360):

    事件3(微信):

    事件5(qq拼音):

    不知道为什么只有事件1235 没有4.

    在网上找了个关于事件4的博客,至于由于时间的原因就没有去尝试,以后有时间希望能尝试一下。

    javascript基础:事件4事件绑定及深入

    三、使用virscan分析恶意软件

    • 使用上一次的网站扫描,在virscan网站上查看上次实验所做的后门软件的文件行为分析:

    • 可以看到其启动回连主机的部分IP地址以及端口号,还有对注册表键值进行了删除

    • 还有反调试和创建事件对象的行为

    4.systracer注册表分析

    首先下载,systracer下载网址

    5、联网情况分析

    在后门程序回连时,在主机的命令行中用netstat -n命令查看TCP连接的情况,可以发现其中有进行回连的后门程序

    • 回连时建立tcp连接

    使用wireshark进行抓包后可以看到,其先进行了TCP的三次握手,之后再进行数据的传输,如图所示,带有PSH,ACK的包传送的就是执行相关操作指令时所传输的数据包:

    使用PEiD分析恶意软件

    • PEiD是一个常用的的查壳工具,可以分析后门程序是否加了壳:

    使用Process Monitor分析恶意软件

    使用Process Explorer分析恶意软件

    • 打开Process Explorer,在Process栏点开explorer.exe前面的小加号,运行后门程序5324test32.exe,界面上就会出现它的基本信息。

    双击后门程序那一行,点击不同的页标签可以查看不同的信息:

    其调用的ntdll库,ntdll.dll是重要的Windows NT内核级文件,描述了windows本地NTAPI的接口。当Windows启动时,ntdll.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。

    基础问题回答
    • 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
    1. 可以使用systracer工具比较某个程序的执行前后计算机注册表、文件、端口的变化情况。
    2. 可以使用Wireshark进行抓包分析,然后查看该程序联网时进行了哪些操作。
    3. 使用netstat命令设置一个计划任务,指定每隔一定时间记录主机的联网记录等等。
    4. 可以通过sysmon工具,配置好想记录事件的文件,然后在事件查看器里面查看相关文件。
    实践总结与体会

    我发现了,老师在课上教我们使用了好多工具和方法来分析,正好用在了这次的实验上,果然知识都是联合起来使用的啊.

  • 相关阅读:
    HDU2066一个人的旅行(dijkstra)
    HDU2544最短路(dijkstra)
    iOS 入门 界面UI 界面跳转
    Lua 函数作为参数传递时的注意事项
    成为Lua高手之metatable
    Android 之 声音捕捉
    Lua 多变长参数传递之三点(...)
    iOS之声音捕捉
    iOS ZXing 二维码模块的加入
    Windows 7 系统的系统界面语言切换成风骚的英文
  • 原文地址:https://www.cnblogs.com/wang5324/p/8825147.html
Copyright © 2020-2023  润新知