20145239杜文超《网络对抗技术》- 恶意代码分析
实验后回答问题
1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
(1)使用计划任务schtasks指令动态监控系统运行
(2)使用sysmon工具动态监控系统运行
2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
(1)使用systracer工具进行快照分析注册表信息、文件行为等信息的变化
(2)把程序放在virscan上检测查看行为报告
实验总结与体会
这次的实验我认识并学会了许多恶意代码的检测监控软件,熟悉了他们的用途和使用方法,也从前两次恶意代码的制作者的角色转变为一个防御者的角色。这使我对恶意代码的认识更加深入,对其防范和检测有了更多经验。
恶意代码静态分析
1、使用http://www.virscan.org/网站
- 以免杀实验中实验中使用Veil-Evasion生成的test2_5239为例:
- 点击行为分析,查看这个恶意代码的行为。
- 这个代码由PACKER:UPolyX v0.5加的壳。
- 可以创建进程,创建文件,修改文件等等。
- 可以删除注册表,创建对象。
2、使用PEiD查壳工具分析软件
- 奇怪的是结果是nothing found,翻看了同学的博客发现大家的结果大同小异,查不出问题的原因可能是这可能是一个压缩壳工具。
恶意代码动态分析
1、使用计划任务schtasks
- 建立netstatlog.bat文件netstat5239.bat(重命名时注意是把拓展文件名txt改成bat),用于记录联网内容:
date /t
- 在命令行中输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "d: etstat5239.bat"创建任务,每隔两分钟记录联网内容
- 但是要注意你用cmd创建的这个触发器可能会有权限不够的情况
- 这时你可以进入控制面板、管理工具、任务计划程序库找到这个触发器,并且勾选最高权限,这样就可以了。
- kali回连后门后查看监控记录,发现了恶意代码的可疑行为:
2、sysmon工具监控系统运行
- 在Sysmon.exe目录下建立文件:20145239.xml,输入老师给出的代码
- 管理员身份运行CMD,输入指令:Sysmon.exe -i 20145239.xml,进行安装,并配置xml:Sysmon.exe -c 20145239.xml
- 设置好上述,可以进入Applications and Services Logs/Microsoft/Windows/Sysmon/Operational查看日志,需等待加载,回连并查找可疑的后门程序
- 被我的火眼金睛发现了
3、使用SysTracer工具分析恶意软件
1.一开始在目标主机上进行快照保存为Snapshot
- 对比#1和#2,发现主机上多了后门程序
- 对比#2、#3发现注册列表被修改了
- 截图后,对比#3和#4
- 用摄像头拍照后,发现新增了照片,驱动列表也有变化,应该是调用了摄像头的驱动。
