20155324 《网络对抗》恶意代码分析
实验过程
1、计划任务监控
在C盘根目录下建立一个netstatlog.bat文件(先把后缀设为txt,保存好内容后记得把后缀改为bat),内容如下:
出现的问题
文件名不能改成.bat
解决:win10默认是不显示后缀名的,只要打开文件夹选项,点击查看并取消勾选上隐藏已知文件类型的拓展名即可。
netstatlog.bat文件的作用是将记录的联网结果按格式输出到相同目录下的netstatlog.txt文件中。
用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:
etstatlog.bat"
指令创建一个任务,记录每隔两分钟计算机的联网情况。
这个时候极易出现拒绝访问的提示,我们可以用管理员权限打开命令提示符
创建任务成功就一直盯着txt文件,列出部分活动链接截图
现在看一下两分钟一次的检查,时间截图如下:
2、sysmon工具监控
配置文件,使用老师提供的配置文件模板,简单修改,把微信、360浏览器、QQ等放进了白名单,保存在了c盘。
配置好文件之后,要先使用Sysmon.exe -i C:Sysmoncfg.txt
指令对sysmon
进行安装:
启动之后,便可以到事件查看器里查看相应的日志:
我查看了其中一部分事件的详细信息,比如这个事件是之前做计划任务时所创建的:
事件1(dllhost进程):
事件2(360):
事件3(微信):
事件5(qq拼音):
不知道为什么只有事件1235 没有4.
在网上找了个关于事件4的博客,至于由于时间的原因就没有去尝试,以后有时间希望能尝试一下。
三、使用virscan分析恶意软件
- 使用上一次的网站扫描,在virscan网站上查看上次实验所做的后门软件的文件行为分析:
-
可以看到其启动回连主机的部分IP地址以及端口号,还有对注册表键值进行了删除
-
还有反调试和创建事件对象的行为
4.systracer注册表分析
首先下载,systracer下载网址
5、联网情况分析
在后门程序回连时,在主机的命令行中用netstat -n命令查看TCP连接的情况,可以发现其中有进行回连的后门程序
- 回连时建立tcp连接
使用wireshark
进行抓包后可以看到,其先进行了TCP的三次握手,之后再进行数据的传输,如图所示,带有PSH,ACK
的包传送的就是执行相关操作指令时所传输的数据包:
使用PEiD分析恶意软件
- PEiD是一个常用的的查壳工具,可以分析后门程序是否加了壳:
使用Process Monitor分析恶意软件
使用Process Explorer分析恶意软件
- 打开P
rocess Explorer
,在Process
栏点开explorer.exe
前面的小加号,运行后门程序5324test32.exe,界面上就会出现它的基本信息。
双击后门程序那一行,点击不同的页标签可以查看不同的信息:
其调用的ntdll
库,ntdll.dll
是重要的Windows NT内核级文件,描述了windows本地NTAPI
的接口。当Windows启动时,ntdll.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。
基础问题回答
- 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 可以使用systracer工具比较某个程序的执行前后计算机注册表、文件、端口的变化情况。
- 可以使用Wireshark进行抓包分析,然后查看该程序联网时进行了哪些操作。
- 使用netstat命令设置一个计划任务,指定每隔一定时间记录主机的联网记录等等。
- 可以通过sysmon工具,配置好想记录事件的文件,然后在事件查看器里面查看相关文件。
实践总结与体会
我发现了,老师在课上教我们使用了好多工具和方法来分析,正好用在了这次的实验上,果然知识都是联合起来使用的啊.