20145333 《网络对抗技术》恶意代码分析

20145333 《网络攻防》恶意代码分析

一、基础问题回答

（1）总结一下监控一个系统通常需要监控什么、用什么来监控。

通常监控以下几项信息：

• 注册表信息的增删添改
• 系统上各类程序和文件的行为记录以及权限
• 实现网络连接的进程，使用的IP地址和端口号等

用以下软件工具来监控：

• TCPview工具查看系统的TCP连接信息
• wireshark进行抓包分析，查看网络连接
• sysmon用来监视和记录系统活动，并记录到windows事件日志，提供文件、进程等的详细信息

（2）如果在工作中怀疑一台主机上有恶意代码，请设计下你准备如何找到对应进程、恶意代码相关文件。

• 使用tcpview工具检测有哪些程序在进行网络连接
• 使用PE解析软件查看可疑进程的详细信息，查看其是否加壳，分析调用的DLL及其函数用途
• 去专业网站扫描可疑进程，查看测评分数与信息
• 使用快照分析进程对系统做了哪些改变，新增文件
• 使用抓包软件分析进程网络连接传输的数据
• 使用Dependency Walker来分析是否有关于注册表的异常行为等。

二、实践过程记录

恶意代码的静态分析

• 通过VirScan的行为分析来分析恶意代码：
  

• 在扫描文件后等待片刻出现文件行为分析后点击查看分析：
  

• 查看网络行为、注册表行为和其他行为：
  

• 查看发现文件会有建立到一个指定套接字连接的行为，自行删除注册表键和值的行为，检测自身是否被调试的行为。

PE explorer

• 用PE explorer打开文件test1.exe，查看PE文件编译的一些基本信息，导入导出表等。
  

• 点击一下上面的“导入表（Import）”，查看一下这个程序都调用了哪些dll文件：
  

• ADVAPI32.dll文件是一个高级API应用程序接口服务库的一部分，调用这个dll可以实现对注册表的操控，

• WSOCK32.dll和WS2_32.dll这两个DLL用于创建套接字，即会发生网络连接。

PEiD

• PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470 种PE 文档 的加壳类型和签名。我们使用PEiD打开test1.exe来查看这个程序是否加壳。
  

• Nothing found [Debug]没加壳？正常的编译会显示编译器，如果什么都没找到，说明可能不识别该编译器。

• 可以查看反汇编之后的代码。
  

Dependency Walker

• Dependency Walker是一款Microsoft Visual C++ 中提供的非常有用的PE模块依赖性分析工具，可以查看 PE 模块的导入模块.查看 PE 模块的导入和导出函数.动态剖析 PE 模块的模块依赖性.解析 C++ 函数名称。

• 我们使用这个软件打开test1.exe
  

• Dependency Walker能更专业，更细致具体的分析dll文件，条理更加清晰细致，功能强大。
  

• 从上图可以看出，通过查看DLL文件的函数，该可执行文件会删除注册表键和注册表键值。
  

Tcpview

• 可以用于查看进行网络连接的进程信息，所以我们可以通过查看每个进程的联网通信状态，初步判断其行为。
  

SysTracer

• 打开攻击机msfconsle，开放监听；win10下对注册表、文件、应用情况进行快照，保存为Snapshot #1

• win10下打开木马test1.exe，回连kali，win10下再次快照，保存为Snapshot #2

• kali中通过msf发送文件给win10靶机，win10下再次快照，保存为Snapshot #4

• kali中对win10靶机进行屏幕截图，win10下再次快照，保存为Snapshot #3

• 我们可以通过“compare”操作来比较每次快照文件的区别。
  

• 对比Snapshot #1和Snapshot #2，可以看到注册表里面出现了新的表项,开放了新的端口。
  

• 安装到目标机时，文件内容监控发现多了个文件。
  

• 对比一下Snapshot #4和Snapshot #3。可以发现启动回连时注册表发生变化了，截屏时注册表也发生了一些变化。
  

netstat命令设置计划任务

• 在F盘中创建一个netstat5333.bat文件

  date /t >> f: etstat5333.txt
  time /t >> f: etstat5333.txt
  netstat -bn >> f: etstat5333.txt

• 在任务计划程序中，新建一个触发器。
  

• 上面内容可以显示我们连接的网络的时间和日期信息。

• 将任务计划的操作选项栏的启动程序设为我们的netstat5333.bat，参数为>>f: etstat5333.txt，这样我们的网络记录信息netstat5333.txt就会保存在f盘下。
  

• 创建完成后，运行任务，发现f盘下出现netstat5333.txt文件，但是没有显示出我们想要的网络连接记录信息，而是显示了“请求的操作需要提升”。

• 用管理员权限运行，即可成功。