Exp4 恶意代码分析
实践目标
1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。
这是我目前为止能找到一个在我电脑上非实验产生后门,在分析日志时发现了几个只有操作很少的进程,运行一下就断了,让我产生怀疑,于是一个个百度,结果如下
1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
实验内容
2.1系统运行监控(2分)
(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
- 在C盘根目录下建立一个
netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下:
date /t >> c:
etstatlog.txt
time /t >> c:
etstatlog.txt
netstat -bn >> c:
etstatlog.txt
netstatlog.bat文件的作用是将记录的联网结果按格式输出到相同目录下的netstatlog.txt文件中。- 使用指令
schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c: etstatlog.bat创建一个任务,记录每隔两分钟计算机的联网情况。(后面在任务计划中做了修改)TN:Task NameSC: SCheduletype,本例中是MINUTE,以分钟来计时TR: Task Run要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口 
两天的系统运行记录
-
使用excel统计数据
-
-
查看有没有异常进程。在查看的过程中发现了一个。
-
(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
最新的Sysmon v7.0下载
配置xml参考
<Sysmon schemaversion="7.0">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">ChsIME.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<Image condition="end with">vmware-authd.exe</Image>
<Image condition="end with">WeChat.exe</Image>
<Image condition="end with">kxescore.exe</Image>
<Image condition="end with">firefox.exe</Image>
<Image condition="end with">wpscloudsvr.exe</Image>
<Image condition="end with">svchost.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
- 一键安装:
sysmon -accepteula –i -n
忘记截图了。。。所以这里就不放图了。 - 好了 ,做了这么多配置成功了,我们点开** 事件查看器**看见已经在运行了。
- 写博客的时候已经过去一段时间了,所以我做了很多事,所以不说了直接看图吧。
- 太多了不想去找我那个只是短暂运行的可疑进程了。
2.2恶意软件分析(1.5分)
使用的是实验二中生成的后门程序
- 由图知道端口号和IP地址正好是我的虚拟机kali的ip还有我的学号
使用火绒剑分析实验三产生的后门
-
kali启动回连
-
并进行操作(手贱输了好几次dir导致下面wireshark抓包,几次一样的TCP交互过程。)
-
使用火绒剑查看进程
-
发现了我自己设置的后门5329.exe -
找到进程位置
-
-
哈哈哈 ,这里看出在Explorer.EXE程序之下,是他的子进程。也可以说是
5329.exe伪装在Explorer.EXE之下,使用了父进程的功能。、 -
这里显示了ip 和端口。。正好是我的学号加400作为端口和我虚拟机的端口
-
-
这里看出了后门运行的时间还有后门此时状态
-
-
接着我们分析注册表
-
-
这里看出后门对文件和注册表都进行了修改。应该是在注册表中添加了内容, 第一条操作大概是做了一个密钥
mkkey+修改的文件所在路径第二条和第三条操作大概是设置值setval+修改的文件所在路径
使用wireshark分析内容
- kali想windows发送一个数据包,Windows确认,windows紧接着向kali发送一个数据包,kali确认,然后又发送......不停的这样来回传输数据交流。体现了kali端控制windows端的全过程。这是我进行回连,并进行几个重复操作。wireshark抓到的就是这个过程。
3.1实验后回答问题
- (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
监控网络连接
监控是否创建新的进程
监控注册表项目
监控系统日志
- (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 额 有很多病毒分析工具,我知道的工具中亲测火绒剑最好用!可以得到进程使用时间,进程当前状态,进程所在路径,进程修改文件路径,进程隐藏在注册表路径。目标ip 端口。
3.2实验总结与体会
本次实验过程中,我彻底对金山失去了信息,卸载掉了,换成了功能更强大的火绒剑。在实验过程中使用excel强大的功能统计出了电脑一天中的进程使用状态,并成功分析出一个外来可疑文件,疑似病毒。
- 还有在查杀的过程中,真正体会到了在网上做了坏事留下的满满都是痕迹,你是谁,你怎么做的,什么时候做的,做了些什么,都清清楚楚,极度可怕怕怕!!!