• 20145204张亚军《网络对抗技术》恶意代码分析


    实验内容

    • schtasks、Sysmon对电脑进行系统检测,并分析。

    • 对恶意软件进行静态分析,直接上传到网上,或者利用peid等软件。

    • 对恶意软件进行动态分析,使用systracer,以及wireshark分析。

    实验后回答问题

    (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

    • 可以用window7自带的schtasks,或者下载Sysmon进行对电脑的监控,不过分析起来,需要每一个都点开看,比较繁琐。

    (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

    • 使用wireshark抓包分析(这个需要你对网络协议有了解)

    • systracer查看具体进程改变的注册表信息等。

    实验总结与体会

    之前,我一直以为,电脑的状态只有我现在打开的一些软件,通过这次实验后,使用sysmon监控电脑,仔细查看了部分信息,发现qq,瑞星等软件经常在刷新,还有发现了一些以前不知道的程序,如mmc.exe,kupdata.exe等程序。以后电脑运行卡、慢,直接在这上面也能找到答案了。对恶意代码也有了新的认识,他们确实在我的主机上悄悄的运行着。
    静态分析文件由于汇编不太好,基本上看不出什么门道来,动态分析就比较简单了,直接看异常运行的程序,分析注册表就可以啦。

    实践过程记录

    系统运行监控

    使用计划任务schtasks。(该程序在win7、win8系统自带)

    1、使用命令C:schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c: etstatlog.txt" 创建计划任务 "netstat"。
    结果如下图所示:

    2、在c盘目录下可以看到netstatlog.txt的内容查看有哪些进程在联网,结果如下图:我们可以看到正常的软件sogou、qq都开着,还有瑞星等(刚开始不知道瑞星的英文进程)

    3、进一步处理,将netstatlog.txt文件输出中可以看到时间。依次在命令行中输入:

    
    date /t >> c:
    etstatlog.txt
    time /t >> c:
    etstatlog.txt
    netstat -bn >> c:
    etstatlog.txt
    
    

    然后在点击开始输入“任务计划”打开任务计划程序的图形界面,在任务计划程序库中可以找到我们建立的netstat,在该任务下点击属性,编辑操作,将"cmd /c netstat -bn > c: etstatlog.txt"替换为“c: etstatlog.bat”,成功后再次打开c盘下的netstatlog.txt,就可以看见新加了时间:

    4、进一步查看联网的程序,其中出现了一些不能辨认的,如下图:SGPicFaceTool.exe、rsturboball.exe,ravmond.exe,依次百度查看,SGPicFaceTool是搜狗图片皮肤(怪不得搜狗一开电脑就变慢),剩下两个都是瑞星杀毒的进程。

    Sysmon

    1、在c盘建立文件C:Sysmoncfg.tx,并输入老师知道书上给的内容。

    2、在老师给出的连接上下载sysmon6,之后在命令行中输入:Sysmon.exe -i C:Sysmoncfg.txt。成功界面如下图:

    3、之后在开始中输入:事件查看日志,打开“应用程序和服务日志->Microsoft->Windows->Sysmon->Operational”,以查看所得到的消息,其中上面是事件,下面是具体内容。如下图:

    点击事件属性可以看到详细信息如下:

    恶意软件分析

    静态分析
    • 将使用msf中shikata_ga_nai编码过一次生成的木马上传到网站,看到具体的内容信息包括注册表行为的改变,连接到具体的套接字等。:

    • PE分析木马文件

    1、木马文件各个属性值

    2、各个section的属性值

    3、反汇编结果

    4、调用的动态链接库文件

    动态分析——systracer
    • 快照1是在木马程序已经在本机后的状态

    • 快照2是启动回连kali时检测到的信息

    下面是比对的结果

    • 先找到木马程序(145204.exe)运行后,发现以下变化:

    • 后来竟然发现了早已被我删掉的360se.exe.

    • ie浏览器没有启动,他也出现在变化的表里

    wireshar抓包木马程序干了什么
    • 首先我们可以看到我的虚拟机和主机之间的三次握手:

    • 最后会发现有大量的http-ssl协议的包,并不能清楚具体干了哪些事情。

  • 相关阅读:
    redis常见面试题
    nginx常见的面试题
    python学习笔记(15)pymysql数据库操作
    python中的if not
    python学习笔记(24)-类与对象
    python学习笔记(23)-异常处理
    python学习笔记(22)-os文件操作模块
    Maven---pom.xml配置详解
    maven+jmeter+jenkins集成
    适配器模式
  • 原文地址:https://www.cnblogs.com/yayaer/p/6641728.html
Copyright © 2020-2023  润新知