20145210姚思羽《网络对抗技术》 恶意代码分析
实验后回答问题
1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
(1)使用计算机自带的schtasks指令动态监控系统运行
(2)使用sysmon工具动态监控系统运行
(3)使用wireshark抓包检测流量等进行分析
(4)使用PE Explore分析恶意软件里的内容
2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
(1)使用systracer工具进行快照分析注册表信息、文件行为等信息的变化
(2)在恶意代码检测网站上检测查看行为报告
(3)使用wireshark检测这个程序联网时进行的操作
实验总结与体会
本次实验对自己的主机小小的监控了一下,发现有一些恶意代码杀软真的检测不出,一些程序真的是默默地在计算机里搞一些事情,甚至我都没有开机他就开始运行,以后对于自己的计算机不能完全依靠杀软,还是要利用已有的一些工具进行监控分析
实践过程记录
恶意代码动态分析
一、使用schtasks指令监控系统运行
1.建立netstatlog.bat文件,用于记录联网内容,文件内容如下:
date /t >> d:
etstatlog.txt
time /t >> d:
etstatlog.txt
netstat -bn >> d:
etstatlog.txt
2.在命令行中输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "d: etstatlog.bat"创建任务,每隔两分钟记录联网内容
3.打开netstatlog.txt文件查看记录内容,刚开始打开的时候出现以下问题:
可能是权限不够,设置为以管理员身份运行之后成功完成联网记录,目前看到的是关闭了与211.136.25.211的连接,并与三个网络建立连接
二、使用sysmon工具监控系统运行
1.下载、配置并安装sysmon
2.启动之后可以在事件查看器中查看到相应的日志
3.看了一些具体的日志内容,找到了启动sysmon.exe的事件
4.找到了一个可疑事件,360卫士在我没有打开电脑的时候做了一些事情
三、使用SysTracer工具分析恶意软件
1.使用SysTracer工具建立以下五个快照:
1.一开始在目标主机上进行快照保存为Snapshot #1;
2.在虚拟机中生成后门软件,将文件传到目标主机后快照保存为Snapshot #2;
3.在虚拟机开启监听的情况下,在目标主机运行后门程序后快照保存为Snapshot #3;
4.在虚拟机对目标主机进行截图后在目标主机中快照保存为Snapshot #4;
5.在虚拟机获取目标主机摄像头后在目标主机快照保存为Snapshot #5.
2.快照结果比对分析:
(1)快照1和快照2:
可以看到在ncat文件夹下多了我们传输的fool_5210.exe:
也可以看到在传输过程中有网络诉求
(2)快照2和快照3:
成功回连之后发现增加了一个注册表键
(3)快照3和快照4:
注册表信息又有变化
(4)快照4和快照5:
获取目标主机摄像头后快照发现传输过来的程序有网络诉求
四、使用wireshark分析恶意代码文件传输情况
1.通过虚拟机向目标主机发送恶意代码,使用wireshark进行抓包,我们抓到了虚拟机与主机的三次握手包
2.建立连接之后开始传输文件,图中[FIN,ACK]的包就是传输的数据包
3.具体看一下数据包的内容,这个包是从虚拟机发到主机的,端口是5210,使用IPv4协议
4.wireshark还捕捉到我的虚拟机和其他IP地址的连接
恶意代码静态分析
一、使用virscan分析恶意软件
1.在病毒分析网站上分析之前我们自己生成的后门程序
(1)发现有21/39的杀软能够查杀到这个恶意代码
(2)这个代码由PACKER:UPolyX v0.5加的壳
(3)它能建立到一个指定的套接字连接,并且能删除注册表键和注册表键值
二、使用PE Explore分析恶意软件
1.使用PE Explore打开可执行文件,可以看出文件的编译时间是2009年8月1日16:20:59,链接器版本号为6.0
2.看一下这个文件的导入表中包含的dll文件:
(1)ADVAPI32.dll可实现对注册表的操控
(2)WSOCK32.dll和WS2_32.dll用于创建套接字
,