20145304 Exp4 恶意代码分析

20145304 Exp4 恶意代码分析

实验后回答问题

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

• 监控连网记录，查看有没有可疑的信息，可使用Windows计划任务或schtasks来监控系统
• 监控驱动加载、线程注入等，可使用Sysmon工具，在事件查看器查看。
• 捕获数据包，分析其内容，看是否有不正常的连接，可开启wireshark。
• 注册表，运行程序等，可使用systracer拍摄快照，进行对比。
• 查看开放端口，是否有不需要开放的端口被开启。
  （2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。
• 可用PEView来查看该程序是否加壳。
• PEView逆向查看该程序，可能会找到关于网络连接和编译的线索。
• 使用systracer拍摄快照，分析程序运行前后的变化。

实验总结与体会

电脑中正在运行的东西，不仅仅只有我们看到的，还可能有一些我们感觉不到的恶意代码在运行，之前的几次实验我们学习的是如何制作恶意代码，这次的恶意代码分析，让我们能依据之前自己做的恶意代码的功能，去分析一些值得关注的一些内容，也为以后可能的分析提供了思路。通过之前的免杀，杀毒软件有时也是很不可靠的，还得靠自己来监控判断，掌握一项技能很重要。

实践过程记录

恶意代码静态分析

将逆序后的shellcode代码放到恶意代码的检测网站上检测。

分析结果显示，39款软件有5款认为其不安全，从检测报告可以推测出该程序可能为一个shellcode的木马。

查看文件行为分析可看到该程序未加壳，还可看到回连的IP与端口信息。

PEiD查看该代码是否加壳

可以看出其编译环境为VC

PEView

使用PEView逆向查看后门程序，猜想可能会有关于IP和端口的信息，但 没有找到，数据处大都是乱码，在调试部分，发现了本机上编译该代码的地址。

系统运行监控

使用schtasks分析网络连接情况

• 创建计划任务。
  

• 为方便观察，使用批处理，在C盘下建一个文件netstatlog.bat，并在计划任务中修改操作的添加参数为c: etstatlog.bat
  

• 将netstatlog.txt文件另存为.vbs文件，用Excel打开，进行筛选，查看结果。在5个小时里共有273条记录，删除重复项后只剩19条，除去无用的信息，观察剩下的，无可疑的地方。
  

使用Sysmon监控

• 创建配置文件

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>

    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• 安装sysmon
  

• 配置
  

• 在事件查看器里查看、分析时发现了使用sogou截图
  

• 创建配置文件
  

• 不知道360在干嘛
  

• audiodg.exe是Windows的音频操作进程。
  

恶意软件分析

使用systracer

• 使用systracer分别建立了没有恶意软件时，装入恶意软件时，启动回连，执行系统命令，开启键盘捕获时的快照。
  

• 快照1与2对比，发现文件处多了装入的恶意代码
  

• 快照2与3对比，应用在运行
  

• 快照3与4对比，应用中运行了CMD
  

• 快照4与5对比，注册表发生了较大变化
  

使用wireshark在回连时捕包

• 通过捕获到的数据包可以看出是本机主动连接虚拟机，并建立了TCP连接。