1.实践目标
1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。
1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
2.1系统运行监控
使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
使用
schtasks /create /TN netstat5228 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn c:
etstatlog.txt"命令创建计划任务netstat5228
在C盘中创建一个netstat5228.bat脚本文件,写入以下内容
打开任务计划程序,可以看到新创建的这个任务
双击这个任务,点击操作并编辑,将“程序或脚本”改为我们创建的netstat5228.bat批处理文件
执行此脚本一定时间,就可以在netstat5228.txt文件中查看到本机在该时间段内的联网记录
通过excel进行统计:
可以看到许多软件,钉钉,VMware,浏览器,电脑管家等等应用程序,都是常用的,没有可疑进程。
安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
下载老师给的安装包并解压sysinternals,右键Sysmon64.exe,在属性->详细信息查看产品版本
写配置文件
以管理员身份运行Sysmon64.exe -i sysmon20175228.xml
在事件查看器,在应用程序和服务日志-Microsoft-Windows-Sysmon-Operational可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等等
2.2.恶意软件分析
静态分析
检测后门程序,查看详细信息,可以看到MD5。SHA-1,SHA-256等信息。
动态分析
安装systracer
捕获五个快照如下:
- 快照一:未移植后门程序,保存为Snapshot #1
- 快照二:移植后门程序,保存为Snapshot #2
- 快照三:运行后门程序并在kali中实现回连,保存为Snapshot #3
- 快照四:在kali中执行dir指令,保存为Snapshot #4
- 快照五:在kali中执行exit 指令,保存为Snapshot #5
3.1实验后回答问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
用schtasks建立每隔一段时间对主机联网状态的记录,监视进程改变了哪些注册表文件以及与哪些dll文件有关,如果有可疑行为一定要及时报告。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
用wireshark进行抓包;用SYSTracer拍摄快照;用sysmon进行针对相应的ip或者端口及ip进行日志文件的观测。
3.2实验总结与体会
我万万没想到,做这个实验全是bug,每一个步骤都会出现问题,因此花了好久。。甚至有一个步骤完全没做出来。