网络对抗技术 20181216 Exp4 恶意代码分析原理与实践说明

网络对抗技术 20181216 Exp4 恶意代码分析原理与实践说明

目录

• 网络对抗技术 20181216 Exp4 恶意代码分析原理与实践说明
  • 实践目标
  • 实践内容概述
  • 基础问题回答
  • 实验内容
    • 任务一：使用schtasks指令监控系统（使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果）
    • 任务二：使用sysmon工具监控系统（安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。）
      • 1.安装sysmon
    • 任务三：恶意软件分析
      • 静态分析
      • 动态分析
  • 实验感想

实践目标

1、 监控你自己系统的运行状态，看有没有可疑的程序在运行。
2、 分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
3、 假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

实践内容概述

1、 系统运行监控

• 使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。
• 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

2、 恶意软件分析，分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

• 读取、添加、删除了哪些注册表项
• 读取、添加、删除了哪些文件
• 连接了哪些外部IP，传输了什么数据

基础问题回答

1、 如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

• 使用windows自带的schtasks指令设置一个计划任务，每隔一定的时间对主机的联网记录等进行记录。
• 使用Sysmon，通过修改配置文件，记录相关的日志文件。
• 使用Process Explorer工具，监视进程执行情况。

2、 如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

• 使用systracer工具分析恶意软件，查看其对注册表和文件的修改。
• 使用Wireshark进行抓包分析，监视其与主机进行的通信过程。
• 使用Process Explorer工具或Process Monitor工具，监视文件系统、注册表、进程/线程的活动。

实验内容

任务一：使用schtasks指令监控系统（使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果）

1、 使用
schtasks /create /TN netstat1216 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn c: etstatlog.txt"
命令创建计划任务netstat1216

• TN是TaskName的缩写，我们创建的计划任务名是netstat1216；

• sc表示计时方式，我们以分钟计时填MINUTE；

• TR=Task Run，要运行的指令是 netstat -bn;

  • b表示显示可执行文件名;
  • n表示以数字来显示IP和端口;

• >表示输出重定向，将输出存放在c: etstatlog.txt文件中
  

2、 在C盘中创建一个netstat1216.bat脚本文件，写入以下内容：

    date /t >c:
etstat5205.txt
    time /t >c:
etstat5205.txt
    netstat -bn >c:
etstat5205.txt

3、 打开任务计划程序，可以看到新创建的这个任务：

4、 编辑这个任务，将“程序或脚本”改为我们创建的netstat1216.bat批处理文件。

5、 打开条件选项卡，可以进一步更改相关设置。如电源选项中默认操作为“只有在计算机使用交流电源时才启动此任务”，那么使用电池电源时就会停止任务。

6、运行任务

7、发现运行不了，检查了一下，是没有用管理员权限运行，修改：在常规处勾选管理员最高权限运行。

8、 执行此脚本一定时间（默认设置是每五分钟截取一次），就可以在netstat1216.txt文件中查看到本机在该时间段内的联网记录：

9、 当记录的数据足够丰富时，停止任务，将所得数据用python脚本进行分析

我使用的是王浩博同学的代码，博客链接：https://www.cnblogs.com/wqnmlkb/p/14616844.html#1用wireshark分析tcp包

跑出来的值非常多。我用放大镜看了一下，都没啥问题。

任务二：使用sysmon工具监控系统（安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。）

1.安装sysmon

sysmon安装包

sysmon配置文件

<Sysmon schemaversion="13.02">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">WeChat.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">WeChat.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">WeChat.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">192.168.31.63</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• onmatch选项只能设置为include或者exclude，exclude相当于白名单，不用记录；include相当于黑名单。
• 在代码中，第一行的sysmon版本号要跟使用的sysmon一致
• Image condition需要根据自己使用的浏览器进行更改，火狐浏览器是“firefox.exe”

2、 打开cmd，进入到sysmon所在的文件夹中，输入sysmon.exe -i sysmon1216.xml

3、 查看事件查看器，选择日志的位置，
应用程序和服务日志/Microsoft/Windows/Sysmon/Operational，在这里，选择其中任一条，我们可以看到按照配置文件的要求记录的新事件，以及事件ID、任务类别、详细信息等。

任务三：恶意软件分析

静态分析

• 文件扫描（VirusTotal、VirusScan工具等）
• 文件格式识别（peid、file、FileAnalyzer工具等）
• 字符串提取（Strings工具等）
• 反汇编（GDB、IDAPro、VC工具等）
• 反编译（REC、DCC、JAD工具等）
• 逻辑结构分析（Ollydbg、IDAPro工具等）
• 加壳脱壳（UPX、VMUnPacker工具等）

1、 使用VirusTotal分析恶意软件

• 把生成的恶意代码放在VirusTotal进行分析,情况如下

查看这个恶意代码的基本属性，可以看到它的SHA-1、MD5摘要值等结果

2、 使用PEiD分析恶意软件

PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470种PE文档的加壳类型和签名。

• 先探试一下没加壳的后门程序，结果是什么都没找到

再尝试一下加壳的后门程序，出现了壳的基本信息

3、 使用PE Explorer分析恶意软件

PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器，能快速对32位可执行程序进行反编译，并修改其中资源。该软件支持插件，你可以通过增加插件加强该软件的功能，原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器，可以查看程序头部信息（默认界面）、程序静态数据目录、程序结头信息、对程序反汇编等等，非常好用。

• 主要看文件引用的dll库，可以通过

  视图->引入

  进行查看

  • KERNEL32.dll：控制着系统的内存管理、数据的输入输出操作和中断处理。
  • msvcrt.dll：是微软编译软件的函数库。

动态分析

• 快照比对（SysTracer、Filesnap、Regsnap工具等）
• 抓包分析（WireShark工具等）
• 行为监控（Filemon、Regmon、ProcessExplorer工具等）
• 沙盒（NormanSandbox、CWSandbox工具等）
• 动态跟踪调试（Ollydbg、IDAPro工具等）

1、 使用Process Monitor分析恶意软件

Process Monitor 是一款由 Sysinternals 公司开发的包含强大的监视和过滤功能的高级 Windows 监视工具，可实时显示文件系统、注册表、进程/线程的活动。

• 打开软件，可以看到各个进程的详细记录

进程的详细信息如下

进程的相关信息

还可以看到相关的库

2、 使用wireshark进行抓包分析

• 回连开始开始前开始捕包，获取主机相关权限后结束捕包，并把过滤规则设置为

• ip.addr == 192.168.62.22 and ip.addr== 192.168.62.1

• 尝试抓包

• 发现只抓到三个包，怀疑是进行了ip地址欺骗，取消过滤规则：

• 发现大量不同的ip地址，在kali端尝试发送截图指令，并观察wireshark抓包情况

• 发现大量tcp包，发送目标是220.194.122.234，怀疑kali在攻击时把自己的ip更改成了这个ip，所以过滤规则不对。

• 通过分析这些包，可以看见主机向kali发送的一些信息，像是长度为1400的应该是刚截的图。

实验感想

本次实验主要学习了恶意代码的分析技术，尝试站在一个分析者而不是攻击者的角度来理解渗透测试这件事。发现还是有很多方法来进行分析的，通过本次实验，我掌握了一些分析工具的使用，可以更加得心应手地分析恶意代码了。