20145332卢鑫 恶意代码分析
实验内容
恶意代码静态分析
1.使用网站进行分析
分析实验二中生成的病毒程序:
因为生成后才想到名字问题,本来是20145332.exe,扫描时改成了bd5332.exe
通过分析发现,该程序加了壳,是由UPolyX v0.5加的。
可以建立到一个指定的套接字连接,是网络连接
可以自行删除注册表键以及注册表键值
可以看出生成它的IP的一部分以及连接端口号
2.PE Explore
可以看出编译时间为2009年4月9日10:33:58
PE文件头的信息以及链接器的版本号为6.0
查看导入表:
ADVAPI32.dll:一个高级API应用程序接口服务库的一部分,调用这个dll可以实现对注册表的操控
WSOCK32.dll和WS2_32.dll:创建套接字,发生网络连接
从这些程序中对比运行时的状况。。。就能感觉这个程序不太对。。。
3.PE ID
在下方显示什么都没找到,但如果是没有加壳的程序,会直接显示出编译器的名称
在汇编代码中,就可以直接看到程序是干嘛的
4.Depandence Walker
通过这个软件可以看出dll调用
恶意代码动态分析
1.TCP View
电脑进行的网络连接真的好多。。。
2.sysmon
安装:
编辑xml不成功。。。没解决:
3.SysTracer
首先对主机进行一次快照,名字是Snapshot #1
等生成病毒文件后再进行一次快照,名字为Snapshot #2
将主机与Kali连接成功后进行快照,名字为Snapshot #3
通过Kali对主机进行操作后进行快照,名字为Snapshot #4
进行对比1和2:
注册表发生变化,且电脑中新增了病毒文件(没有显示的原因应该是病毒文件我没有放到电脑的信任区里。。。所以显示有问题)
进行对比2和3:
回连成功后多了一个注册表键
进行对比3和4:
注册表信息又发生变化
4.Wiershark
可以看出双方通信的端口号5332,源目的MAC地址,源目的IP地址,使用了TCP协议
回答问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
答:可以监控注册表的改变,软件的行为,还有进行网络行为时的IP地址等。
可以使用wireshark捕包软件,可以使用TCPView查看连接,还又这次实验用到的sysmon。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
答:可以使用PEID,Dependence Walker,去专业网站扫描,TCPView等软件。
实验总结与体会
这次发现可以用来分析的软件有这么多,而且软件之间也会通用性,就是不太好分析。。。可能英语没学好吧。。。但是觉得电脑真的太容易中病毒了!!!以后下软件还是可靠一些的好