zoukankan      html  css  js  c++  java
  • # 2017-2018-2 20155319『网络对抗技术』Exp4:恶意代码分析

    2017-2018-2 20155319『网络对抗技术』Exp4:恶意代码分析

    实验目标与基础问题

    ++1.实践目标++

    • 监控你自己系统的运行状态,看有没有可疑的程序在运行。
    • 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
    • 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

    ++2.基础问题回答++

    • 问:如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
    • 1.使用windows自带的schtasks指令设置批处理任务,每隔一段时间进行监控什么应用程序联网。2.使用sysmon工具。
    • 问:如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
    • 用wireshark抓包或者systracer分析恶意软件。

    实践过程记录

    一、使用schtasks指令监控系统

    1.使用schtasks /create /TN netstat19 /sc MINUTE /MO 20 /TR "cmd /c netstat -bn > c: etstatlog.txt"命令创建计划任务netstat19,如下图所示

    • TN是TaskName的缩写,我们创建的计划任务名是netstat19;
    • sc表示计时方式,我们以分钟计时填MINUTE;
    • TR=Task Run,要运行的指令是 netstat
    • -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口;
    • c: etstatlog.txt类似于Linux中的重定向,输出将存放在C盘下的netstatlog.txt文件中(自动生成)。

    2.在C盘中创建一个netstat5319.bat脚本文件(先创建txt文本文件,使用记事本写入后修改成.bat文件,提供管理员权限移动到C盘)指令如下:

    date /t >> c:
    etstat.txt
    time /t >> c:
    etsta.txt
    netstat -bn >> c:
    etstat.txt
    

    3.打开任务计划程序,可以查看新创建的这个任务:

    4.双击这个任务,按下图操作,注意勾选最高权限运行将“程序或脚本”改为我们创建的netstat5319.bat批处理文件,确定即可。

    5.在c盘中查看生成的txt文件,参考学姐的博客20144306《网络对抗》MAL_恶意代码分析导入到excel中分析。

    二、使用sysmon工具监控系统

    • sysmon是微软Sysinternals套件中的一个工具,使用sysmon工具前首先要配置文件。

    第一步: 创建配置文件Sysmon20155319.txt,写入自己要记录的项,进程创建、进程创建时间、网络连接等。

    <Sysmon schemaversion="3.10">
      <!-- Capture all hashes -->
      <HashAlgorithms>*</HashAlgorithms>
      <EventFiltering>
        <!-- Log all drivers except if the signature -->
        <!-- contains Microsoft or Windows -->
        <ProcessCreate onmatch="exclude">     
          <Image condition="end with">chrome.exe</Image> 
        </ProcessCreate>
    
        <FileCreateTime onmatch="exclude" >
          <Image condition="end with">chrome.exe</Image>
        </FileCreateTime>
        
        <NetworkConnect onmatch="exclude">
          <Image condition="end with">chrome.exe</Image>
          <SourcePort condition="is">137</SourcePort>
          <SourceIp condition="is">127.0.0.1</SourceIp>
        </NetworkConnect>
        <NetworkConnect onmatch="include">     
          <DestinationPort condition="is">80</DestinationPort>      
          <DestinationPort condition="is">443</DestinationPort>    
        </NetworkConnect>
    
        <CreateRemoteThread onmatch="include">
          <TargetImage condition="end with">explorer.exe</TargetImage>
          <TargetImage condition="end with">svchost.exe</TargetImage>
          <TargetImage condition="end with">winlogon.exe</TargetImage>
          <SourceImage condition="end with">powershell.exe</SourceImage>
        </CreateRemoteThread>
      </EventFiltering>
    </Sysmon>
    

    第二步: 启动sysmon。

    1.下载老师码云的SysinternalsSuite201608压缩包,解压。

    2.在命令提示符(管理员)中进入到该目录下。

    3.安装sysmon:执行命令sysmon.exe -i C:5319Sysmon.txt。

    4.安装成功截图如下:

    第三步: 在事件查看器里查看日志

    • 右键进入计算机管理,找到事件查看器。点击“事件查看器”右侧小箭头,选择日志的位置:应用程序和服务日志/Microsoft/Windows/Sysmon/Operational。利用Sysmon具体分析日志的例子我选择了自己实验二中生成的后门r5319.exe进行分析。

    • 回连

    • conhost.exe是命令行程序的宿主进程。简单的说他是微软出于安全考虑,在windows 7和Windows server 2008中引进的新的控制台应用程序处理机制。这个好像和后门没什么关系。

    • 输入shell获取权限主机调用cmd。

    三、使用VirusTotal分析恶意软件

    • 把生成的恶意代码放在VirusTotal进行分析如下:

    • 可以查看这个恶意代码的基本属性:

    • 恶意代码的算法库情况:

    四、使用systracer分析恶意软件

    • 由于再主机中做快找时间长,我选择在win7虚拟机中进行。

    • 在win7虚拟机安装SysTracer软件

    • 将木马植入靶机,对靶机注册表、文件等进行快照,保存为Snapshot #1

    • 打开kali的msfconsle,靶机运行木马,回连kali,win7下再次快照,保存为Snapshot #2

    • 在kali中对靶机进行屏幕截图,win7下再次快照,保存为Snapshot #3

    • 在kali中对靶机进行提权操作,win7下再次快照,保存为Snapshot #4

    • 点击右下角“Compare”,比较快照的不同之处。

    实践总结及体会

    本次实验的内容十分丰富,我学习使用了数款用于检测恶意代码的指令或是软件,例如SysTracer、sysmon等。这些工具都能很好地辅助我们对主机进行监控,以发现恶意行为并进行及时处理。通过实验自己深切感受到监控系统的重要性,定期检查监控发现恶意代码!

  • 相关阅读:
    Python并行编程(七):线程同步之事件
    Python并行编程(六):线程同步之条件
    Python并行编程(五):线程同步之信号量
    Python并行编程(四):线程同步之RLock
    Python并行编程(三):线程同步之Lock
    UML关系总结——画uml图、流程图、软件结构图、类图、顺序图的方法
    2020,你好!
    字符串和多维数组
    排序算法
    查找技术
  • 原文地址:https://www.cnblogs.com/rhl20155319/p/8875070.html
Copyright © 2011-2022 走看看