2018-2019-2 20165205《網(wǎng)絡(luò)對(duì)抗技術(shù)》Exp4 惡意代碼分析

2018-2019-2 20165205《網(wǎng)絡(luò)對(duì)抗技術(shù)》Exp4 惡意代碼分析

實(shí)驗(yàn)要求

監(jiān)控你自己系統(tǒng)的運(yùn)行狀態(tài)，看有沒(méi)有可疑的程序在運(yùn)行。

分析一個(gè)惡意軟件，就分析Exp2或Exp3中生成后門(mén)軟件；分析工具盡量使用原生指令或sysinternals,systracer套件。

假定將來(lái)工作中你覺(jué)得自己的主機(jī)有問(wèn)題，就可以用實(shí)驗(yàn)中的這個(gè)思路，先整個(gè)系統(tǒng)監(jiān)控看能不能找到可疑對(duì)象，再對(duì)可疑對(duì)象進(jìn)行進(jìn)一步分析，好確認(rèn)其具體的行為與性質(zhì)。

基礎(chǔ)問(wèn)題

1.如果在工作中懷疑一臺(tái)主機(jī)上有惡意代碼，但只是猜想，所有想監(jiān)控下系統(tǒng)一天天的到底在干些什么。請(qǐng)?jiān)O(shè)計(jì)下你想監(jiān)控的操作有哪些，用什么方法來(lái)監(jiān)控。

使用schtasks監(jiān)視主機(jī)，然后統(tǒng)計(jì)可以的IP號(hào)和可疑的聯(lián)網(wǎng)程序

或者使用Sysmon，編寫(xiě)配置文件，記錄聯(lián)網(wǎng)端口的操作

使用Process Monitor工具，主要監(jiān)視注冊(cè)表的變化

2.如果已經(jīng)確定是某個(gè)程序或進(jìn)程有問(wèn)題，你有什么工具可以進(jìn)一步得到它的哪些信息。

使用wireshark進(jìn)行抓包獲取這個(gè)進(jìn)程的通信

使用PIED查看是否加殼

在Virus Total中對(duì)程序進(jìn)行掃描

使用systracer進(jìn)行分析，對(duì)比運(yùn)行程序或進(jìn)程前后發(fā)生的變化

實(shí)驗(yàn)內(nèi)容

1. 系統(tǒng)運(yùn)行監(jiān)控（2分）

1.1使用schtasks監(jiān)控系統(tǒng)

• 在本機(jī)中使用schtasks /creat /TN /netstat5205 /sc MINUTE /MO 1 /TR"cmd /c netstat -bn > c:\netstatlog.txt"創(chuàng)建計(jì)劃任務(wù)netstat5205 - TN 指定任務(wù)名稱 - sc 指定記錄間隔時(shí)間，這里規(guī)定每隔一分鐘記錄一次 - TR 指定運(yùn)行命令 - bn b指記錄可執(zhí)行文件名，n指記錄端口和IP ->` 輸出到指定文件

• C盤(pán)下創(chuàng)建netstat5205.bat腳本文件，寫(xiě)入以下內(nèi)容

  date/t >> c:\netstatlog.txttime/t >> c:\netstatlog.txtnetstat -bn >> c:\netstatlog.txt

• 在開(kāi)始中搜索任務(wù)計(jì)劃程序，找到我們剛剛創(chuàng)建的任務(wù)，雙擊，點(diǎn)擊操作，修改，把“程序或腳本”改為netstat5205.bat,然后確定
  

• 執(zhí)行8個(gè)小時(shí)后進(jìn)行統(tǒng)計(jì)，在excel表中統(tǒng)計(jì)所有的exe進(jìn)程的聯(lián)網(wǎng)動(dòng)態(tài)
  
  
  

• 修改統(tǒng)計(jì)范圍
  

• 可以看到
  

• 其中360，wps，WeChat，vm，輸入法，瀏覽器是我可以看懂的，其他
  • jucheck.exe是java軟件的檢測(cè)升級(jí)進(jìn)程，
  • SCMiNi64.exe，這個(gè)我沒(méi)有怎么查到，查到的只是說(shuō)這個(gè)硬件的運(yùn)行程序
  • SGTool.exe 搜狗輸入法運(yùn)行的進(jìn)程之一

  • svchost.exe 是從動(dòng)態(tài)鏈接庫(kù) (DLL)中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱。這個(gè)程序?qū)ο到y(tǒng)的正常運(yùn)行是非常重要

    1.2使用sysmon工具監(jiān)控系統(tǒng)

• 重點(diǎn)監(jiān)控進(jìn)程創(chuàng)建，網(wǎng)絡(luò)連接和遠(yuǎn)程線程創(chuàng)建
• 下載sysinternals

• 命令行安裝sysmon -accepteula -i -n
  

• 創(chuàng)建配置文件Sysmon20165205.xml

  <Sysmon schemaversion="3.10"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude"><Signature condition="contains">microsoft</Signature><Signature condition="contains">windows</Signature></DriverLoad><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><Image condition="end with">iexplorer.exe</Image><Image condition="end with">firefox.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp><DestinationPort condition="is">80</DestinationPort> <DestinationPort condition="is">443</DestinationPort> </NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">firefox.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread><ProcessCreate onmatch="include"><Image condition="end with">chrome.exe</Image><Image condition="end with">iexplorer.exe</Image><Image condition="end with">firefox.exe</Image></ProcessCreate><FileCreateTime onmatch="exclude" ><Image condition="end with">firefox.exe</Image> </FileCreateTime><FileCreateTime onmatch="include" ><TargetFilename condition="end with">.tmp</TargetFilename> <TargetFilename condition="end with">.exe</TargetFilename> </FileCreateTime></EventFiltering></Sysmon>
• 重點(diǎn)監(jiān)視80和443端口，和瀏覽器等聯(lián)網(wǎng)應(yīng)用
• sysmon -c Sysmon20165205.xml完成配置

• 打開(kāi)exp3中的后門(mén)程序，可以看到捕捉到了后門(mén)程序和360的信息，還有未關(guān)閉的netatat：
  
  

還有SearchFilterHost：是系統(tǒng)自帶的搜索服務(wù)：

dllhost這個(gè)程序與svhost有關(guān)，貌似也是系統(tǒng)程序之一：

2. 惡意軟件分析（1.5分）

2.1使用Virus Total分析惡意軟件

• 對(duì)實(shí)驗(yàn)3中的惡意代碼進(jìn)行檢測(cè)：
• 在Details處可以看到基本屬性：SHA-1、MD5摘要值、文件類型、文件大小
  
  

2.2使用Process Monitor分析惡意軟件

• 捕捉到各個(gè)進(jìn)程的詳細(xì)信息
  

2.3使用Process Explorer分析惡意軟件

• 運(yùn)行后門(mén)程序，可以看到對(duì)后門(mén)程序的記錄
  

2.4使用PEiD分析惡意軟件

• 分別對(duì)加殼和未加殼的程序進(jìn)行檢測(cè)

2.5使用systracer分析惡意軟件

• 安裝SysTracer軟件后，記錄各個(gè)后門(mén)操作，進(jìn)行對(duì)比
  • 未植入后門(mén)，記錄Snapshot#1
  • 后門(mén)回連，記錄Snapshot #2
  • 后門(mén)記錄鍵盤(pán)，記錄Snapshot #3
  • 后門(mén)查看文件，記錄Snapshot #4
    
• 比較 Snapshot#1和Snapshot #2
  

可以看到新增文件、目錄，甚至是密鑰（還是口令，這里的Key我不太清楚值什么）

在C:\windows\system32下新增許多dll文件

• 比較 Snapshot#2和Snapshot #3
  
  攻擊機(jī)讀取目標(biāo)機(jī)的鍵盤(pán)記錄，這里可以看到新增文件與輸入有關(guān)

• 比較 Snapshot#3和Snapshot #4
  
  攻擊機(jī)讀取目標(biāo)機(jī)的目錄，這一點(diǎn)我是沒(méi)看出來(lái)新增了的是什么意思。

實(shí)驗(yàn)體會(huì)

• 在實(shí)驗(yàn)中我花了大半天來(lái)監(jiān)視電腦天天都在干什么，通過(guò)excle表的分析，最終發(fā)現(xiàn)本來(lái)自己認(rèn)為網(wǎng)絡(luò)通信不多的程序比如wps，其實(shí)在不知不覺(jué)中進(jìn)行了許多網(wǎng)絡(luò)通信。
• 在分析中因?yàn)樽约簩?duì)各種文件的不熟悉，很多文件不知道的做什么的，只能一個(gè)一個(gè)查，有些百度出來(lái)的結(jié)果還不一樣，搞得我都不知道這些程序是安全的還是偽裝安全的了
• 通過(guò)自己動(dòng)手實(shí)踐，在后門(mén)程序做了很多記錄，發(fā)現(xiàn)一個(gè)后門(mén)程序，尤其的攻擊方有操作時(shí)，后門(mén)程序會(huì)做很大的手腳，也難怪自己的后門(mén)會(huì)被360發(fā)現(xiàn)了

posted on 2019-04-07 11:22 mushroom1111 閱讀(...) 評(píng)論(...) 編輯 收藏

轉(zhuǎn)載于:https://www.cnblogs.com/mushroomissmart/p/10664437.html

總結(jié)

以上是生活随笔為你收集整理的2018-2019-2 20165205《网络对抗技术》Exp4 恶意代码分析的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。