实验4 恶意代码分析
系统运行监控
1.Schtasks
- 先建立一个netstat20155210.txt文件,在文件中输入
date /t >> c:
etstat20155210.txt
time /t >> c:
etstat20155210.txt
netstat -bn >> c:
etstat20155210.txt
-
然后将此文件名改为netstat20155210.bat
-
再建立一个netstat20155210.txt,用来将记录的联网结果格式化输出到其中
-
将这两个文件剪切到c盘目录下
方法一
- 然后,以管理员身份打开命令行,输入
schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "c: etstat20155210.bat"
如图:
-
TN:Task Name,本例中是netstat
-
SC: SChedule type,本例中是MINUTE,以分钟来计时
-
MO: MOdifier
-
TR: Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口
-
打开
netstat20155210.txt,得到如图:
- 查找5210(1).exe通过5210端口在调用svchost.exe.
方法二
-
打开控制面板,搜索计划任务
-
选择创建任务,名称设为20155210,并选择使用最高权限运行
-
创建触发器
-
创建任务
Sysinternals工具集
2.1Sysmon
-
首先我们在https://docs.microsoft.com/zh-cn/sysinternals/下载sysmon
-
对其进行解压,在C盘创建20155210.txt文件在其中输入
<Sysmon schemaversion="4.00"> //4.00为你的版本号,如不知道版本号,可先运行下面的指令,根据所提示的错误进行更改
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
- 然后,以管理员身份运行命令行,输入
Sysmon.exe -i 20155210.txt
如图:
-
配置文件可以随时修改,修改完需要用如下指令更新一下
Sysmon.exe -c 20155210.txt -
然后我们打开控制面板,搜索事件查看,打开事件查看器,sysmon的日志就在,应用程序和服务日志/Microsoft/Windows/Sysmon/Operational下
如图:
- 我们对日志进行查看
如图:
- 上图为sysmon创建进程
- 上图为QQBrowers.exe,更新日志
- 上图为360利用tcp对本机进行连接。
- 上图为sysmon启动
- 上图为360speedld.exe进程结束
-
上图为使用命令行,利用20155210.txt,对sysmon进行更改
-
事件ID号类型可参考https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon
如图:
-
接下来,我们主要对80,443端口进行监视
-
利用下面的代码对20155210.txt进行更改,然后使用
sysmon.exe -c 20155210.txt,进行更新。
<Sysmon schemaversion="4.00">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">SogouExplorer.exe</Image>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
<DestinationPort condition="is">5210</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
如图:
- 然后我们来查看事件查看器,如图:
- 5210(1).exe,利用tcp,进行network连接,目的端口为5210,资源端口为18477
2.2TCPview
-
首先,先对其进行下载,下载地址与sysmon下载地址相同
-
直接打开,可看到如图:
- 查阅资料一般localport 为cifs都是后门,cifs是一个新提出的协议,它使程序可以访问远程Internet计算机上的文件并要求此计算机提供服务。很明显如果有程序的LocalPort显示为cifs的时候就要注意了
恶意软件分析
Systracer
-
首先我们进行下载,安装
-
然后进行快照,我快照了3次,分别为
1.windows什么都不运行
2.尝试回连
3.kali输入dir
- 上图可看出后门再更改注册表
- 上图为2与3对比,发现main.exe在运行,并且新增了svchost服务。
问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
-
用TCPview,监听观察是否有localport为cifs的
-
用Schtasks,查看是否有可疑netstat连接
-
用sysmon,查看id为3的,是否有可以进程进行连接
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- systracer 可以得到,该进程运行后注册表,文件,进程的变化