恶意代码分析
实践目标
-
1是监控你自己系统的运行状态,看有没有可疑的程序在运行。
-
2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
-
3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
实践内容
(一)系统运行监控
(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
1.使用schtasks指令,配置监控
schtasks /create /TN netstat5213 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > d: etstat5213.txt"
- 在d盘创建netstat5213.bat,将下列内容写入进去,此方式会将监控的内容保存到txt文件中。
date /t >> d: etstat5213.txt
time /t >> d: etstat5213.txt
netstat -bn >> d: etstat5213.txt
3.打开任务计划程序,双击netstat,->操作。
- 点击编辑,将程序和脚本框中的内容填为D:
etstat5213.bat,确认,运行,等待后netstat20165213.txt中得到监控到的网络信息。
4.新建excel,在数据一栏中选中自文本,导入netstat20165213.txt后,选择区段后插入数据透视表,得到字段。
5.建立数据透视图,进行分析。
TCP不算做软件,其他数据传输量最大的是qq,由于监听的时间不是特别长,所以其他几个软件并没有监听到较大的数据量。
(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
1.下载sysmon,下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon
安装:sysmon -accepteula -i -n
2.根据版本号,将下列代码写入新建的Sysmon20165213.xml中。
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<Image condition="end with">firefox.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">firefox.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
<ProcessCreate onmatch="include">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<Image condition="end with">firefox.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">firefox.exe</Image>
</FileCreateTime>
<FileCreateTime onmatch="include" >
<TargetFilename condition="end with">.tmp</TargetFilename>
<TargetFilename condition="end with">.exe</TargetFilename>
</FileCreateTime>
3.输入命令sysmon -c C:/Sysmon20165213.xml
4.打开时间查看器,点击应用程序和服务日志/Microsoft/Windows/Sysmon,点开Operations查看。
5.利用生成的后门程序,监听,获得pid,uid信息。
(二)恶意软件分析
(3)分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件读取、添加、删除了哪些注册表项
(4)分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件读取、添加、删除了哪些文件
(5)分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件连接了哪些外部IP,传输了什么数据(抓包分析)
process monitor
1.process monitor 分析,使用kali监听,打开5213.exe,文件,获取win7的权限。
2.在filter中添加对5213.exe的监控,完成后可以观察记录结果
virus total
1.登录网址:https://www.sogou.com/link?url=hedJjaC291M1DfXRR_D6Ms9WqBXzIBA006jqesMEqQY.
2.选择文件,分析
- 从图中可以看出MD5,SHA1等的密文,以及其他的各类信息。
Peid
1.这是一个判断一个软件有没有加壳的软件。
2.首先下载软件,打开,选择分别打开文件5213.exe,20165213.exe(加壳),得到的结果如下,Peid能分析出来是否加壳并分析出壳的种类。
process Explorer
1.由Sysinternals开发的Windows系统和应用程序监视工具,目前已并入微软旗下。不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框(增加了进程存活时间图表)、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像(DLL和内核模式驱动程序)加载、系统引导时记录所有操作等。
2.下载打开process Explorer,kali打开监听,win7运行后可以在界面中观察到该进程的信息。
Systracer
1.基本步骤如下:
-
打开未植入后门的win7虚拟机保存快照,命名为Snapshot #1
-
将木马植入win7,对win7注册表、文件等进行快照,保存为Snapshot #2
-
打开kali的msfconsle,win7运行木马,回连kali,保
存为Snapshot #3 -
在kali中对靶机进行查看文件操作ls,win7下再次快照,保存为Snapshot #4
-
在kali中对靶机进行屏幕截图操作,win7下再次快照,保存为Snapshot #5
-
点击compare,选择only difference,可以看到old和new中的变化
实践问题回答
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 使用schtasks指令,配置监控schtasks /create /TN netstat5213 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > d: etstat5213.txt",监听完之后可以用办公软件如excel建立图表进行查看。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 可以使用process monitor,在filter中添加自己想要观测的进程或程序,该进程或程序所进行的操作会实时在process monitor中显示出来。
实验总结与体会
在做完本次实验后,我掌握了对自己电脑具体软件运行情况的监控方法,以及在不了解自己电脑是否中病毒时,进行检测查找,又或是怀疑某个进程或软件有问题时可以对其进行实时监控。综上,我对于自己电脑安全问题有了更好的把握。