2018-2019-2 20165332 《网络对抗技术》Exp4 恶意代码分析

原理与实践说明

1.实践目标

监控你自己系统的运行状态，看有没有可疑的程序在运行。

分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。

假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

2.实践内容概述

系统运行监控

使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果。

安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

读取、添加、删除了哪些注册表项

读取、添加、删除了哪些文件

连接了哪些外部IP，传输了什么数据

3.基础问题回答

如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

使用windows自带的schtasks指令设置一个计划任务，发现网络连接异常

使用Sysmon，编写配置文件，记录有关的系统日志

使用Process Explorer工具，监视进程执行情况。

使用Process Monitor工具，监视文件系统、注册表、进程/线程的活动。

如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

使用systracer工具分析恶意软件，查看其对注册表和文件的修改。

使用Wireshark进行抓包分析，监视其与主机进行的通信过程。

使用Process Explorer工具或Process Monitor工具，监视文件系统、注册表、进程/线程的活动。

实践过程

1.使用schtasks指令监控系统

使用schtasks /create /TN netstat5332 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令创建计划任务netstat5332：

在C盘中创建一个netstat5332.bat脚本文件（可先创建txt文本文件，使用记事本写入后通过修改文件名来修改文件格式）

在其中写入以下内容,如下图所示：

打开任务计划程序，可以看到我们新创建的这个任务：

双击这个任务，点击操作并编辑，将“程序或脚本”改为我们创建的netstat5332.bat批处理文件。



在属性中“常规”一栏最下面勾选“使用最高权限运行”，不然程序不会自动运行

在属性中“条件”这一选项中的“电源”一栏中，取消勾选“只有计算机使用交流电源才启动此任务”，防止电脑一断电任务就停止



执行此脚本一定时间，就可以在netstat5318.txt文件中查看到本机在该时间段内的联网记录：



当记录的数据足够丰富时，停止任务，将所得数据在excel中进行分析，此过程要一直保持开机联网状态才能持续监控

统计图如下：

综合分析，联网最多的是是我2345输入法对应的程序2345PinyinCloud.exe。

2.使用sysmon工具监控系统

Sysmon是微软Sysinternals套件中的一个工具。它以系统服务和设备驱动程序的方法安装在系统上，并保持常驻性。sysmon用来监视和记录系统活动，并记录到windows事件日志，可以提供有关进程创建，网络链接和文件创建时间更改的详细信息。

首先创建配置文件sysmon5332.txt，并输入如下的代码：

<Sysmon schemaversion="9.01">

  <!-- Capture all hashes -->

  <HashAlgorithms>*</HashAlgorithms>

  <EventFiltering>

    <!-- Log all drivers except if the signature -->

    <!-- contains Microsoft or Windows -->

    <DriverLoad onmatch="exclude">

      <Signature condition="contains">microsoft</Signature>

      <Signature condition="contains">windows</Signature>

    </DriverLoad>

    <NetworkConnect onmatch="exclude">

      <Image condition="end with">iexplorer.exe</Image>

      <SourcePort condition="is">137</SourcePort>

      <SourceIp condition="is">127.0.0.1</SourceIp>

    </NetworkConnect>

    <NetworkConnect onmatch="include">

      <DestinationPort condition="is">5332</DestinationPort>

      <DestinationPort condition="is">80</DestinationPort>

      <DestinationPort condition="is">443</DestinationPort>

    </NetworkConnect>

    <CreateRemoteThread onmatch="include">

      <TargetImage condition="end with">explorer.exe</TargetImage>

      <TargetImage condition="end with">svchost.exe</TargetImage>

      <TargetImage condition="end with">winlogon.exe</TargetImage>

      <SourceImage condition="end with">powershell.exe</SourceImage>

    </CreateRemoteThread>

  </EventFiltering>

</Sysmon>

安装sysmon：sysmon -accepteula –i -n

在命令行下使用sysmon -c Sysmon20165332.xml命令可以对sysmon进行配置指定配置文件



查看“事件查看器”，选择日志的位置，应用程序和服务日志/Microsoft/Windows/Sysmon/Operational，在这里，我们可以看到按照配置文件的要求记录的新事件，以及事件ID、任务类别、详细信息等。



启动回连、安装到目标主机。

输入getpid 查询进行数据筛选

在服务日志中发现了后门程序的痕迹

3.恶意软件分析

（1）静态分析：

文件扫描（VirScan工具）

使用在线VirusScan工具对上次实验中生成的.jar文件进行扫描



点击 哈勃文件 分析查看详细分析结果：

在进程行为中可以看到，可疑行为包括隐藏窗口创建进程、创建进程和创建本地线程

在文件行为中可以看到，可疑行为包括创建文件、修改文件内容、删除文件和查找文件

在网络行为中可以看到，可疑行为包括建立到一个指定的套接字连接和按名称获取主机地址，其中建立到一个指定的套接字连接就是实现kali反弹连接，获取受害机权限的方法。

在其他行为中可以看到，可疑行为包括打开互斥体、打开事件和创建事件对象



（2）动态分析：

systracer分析恶意软件

第一步：下载安装Systracer。

一.首先下载完成后进行安装，步骤为：agree->选第二个

->设置监听端口号



->安装完成

二.在打开后门前先快照一下，点击“take snapshot”，如图，按照以下步骤进行：

三.Kali打开msfconsole,完成相关设置后开始监听，Windows运行后门后，拍摄快照：

四.进行分析：

1.点击上方“Applications”->左侧“Running Processes”->找到后门进程“20165329_backdoor.exe”->点击“Opened Ports”查看回连地址、远程地址和端口号：

2.在快照界面“Snapshots”右下角点击“Compare”，比对一下回连前后计算机发生的变化，所有蓝色标注的地方，就是前后发生变化的地方：

3.此外还对注册表中hkey_local_machine进行了修改，修改内容如下：



4.此外我们可以通过查看后门软件的“opened handles”（打开的句柄）来对比他们都做了什么

5.可以看到后门的目标及源ip和端口信息

实验感想

本次实验的重点在分析恶意代码。我们学习使用了数款用于检测恶意代码的指令或是软件，例如SysTracer、Sysmon等工具。

通过学习了解到，恶意代码的分析方法主要分为静态分析方法和动态分析方法。这两种方法在本次实验中都有所涉及。

我们要时常对电脑的行为进行监控，不能只依靠杀毒软件，杀毒软件不是百分之百安全的。

2018-2019-2 20165332 《网络对抗技术》Exp4 恶意代码分析的更多相关文章

1. 2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析

   2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析 实验内容(概要) 一.系统(联网)运行监控 1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,逐步排查并且 ...

2. 20145226夏艺华 网络对抗技术EXP4 恶意代码分析

   20145226夏艺华 网络对抗技术EXP4 恶意代码分析(未完成版) 回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作 ...

3. 20155302《网络对抗》Exp4 恶意代码分析

   20155302<网络对抗>Exp4 恶意代码分析 实验要求 •是监控你自己系统的运行状态,看有没有可疑的程序在运行. •是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工 ...

4. 20145208 蔡野 《网络对抗》Exp4 恶意代码分析

   20145208 蔡野 <网络对抗>Exp4 恶意代码分析 问题回答 总结一下监控一个系统通常需要监控什么.用什么来监控. 监控一个系统通常需要监控这个系统的注册表,进程,端口,服务还有文 ...

5. 20145215《网络对抗》Exp4 恶意代码分析

   20145215<网络对抗>Exp4 恶意代码分析 基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用 ...

6. 20155227《网络对抗》Exp4 恶意代码分析

   20155227<网络对抗>Exp4 恶意代码分析 实践目标 1.是监控你自己系统的运行状态,看有没有可疑的程序在运行. 2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分 ...

7. 20155232《网络对抗》Exp4 恶意代码分析

   20155232<网络对抗>Exp4 恶意代码分析 1.实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门 ...

8. 20155239 《网络对抗》Exp4 恶意代码分析

   20155239 <网络对抗>Exp4 恶意代码分析 使用schtasks指令监控系统运行 先在C盘目录下建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到nets ...

9. 20155304《网络对抗》Exp4 恶意代码分析

   20155304<网络对抗>Exp4 恶意代码分析 实践内容 1.系统运行监控 1.1使用schtasks指令监控系统运行 我们在C盘根目录下建立一个netstatlog.bat的文本文件 ...

10. 20155308《网络对抗》Exp4 恶意代码分析

    20155308<网络对抗>Exp4 恶意代码分析 实践说明 实践目标 是监控你自己系统的运行状态,看有没有可疑的程序在运行. 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件: ...

随机推荐

1. 新版本MySQL Server 5&period;7的免安装版本设置

   今天重新配置电脑,安装java开发运行的相关环境,在安装mysql的过程中,遇到了一些问题. 因为在网站上下载的是免安装版本的mysql 5.7 ,所以在安装过程中只需要解压缩zip的压缩包即可. 之 ...

2. LeetCode 1 Two Sum（二分法）

   题目来源:https://leetcode.com/problems/two-sum/ Given an array of integers, find two numbers such that t ...

3. JS URL传中文参数引发的乱码问题

   今天的项目中碰到了一个乱码问题,从JS里传URL到服务器,URL中有中文参数,服务器里读出的中文参数来的全是“?”,查了网上JS编码相关资料得以解决. 解决方法一: 1.在JS里对中文参数进行两次转码 ...

4. OpenJudge计算概论-配对碱基链

   /*===================================== 配对碱基链 总时间限制: 1000ms 内存限制: 65536kB 描述 脱氧核糖核酸(DNA)由两条互补的碱基链以双螺 ...

5. python异常以及面向对象编程

   一.面向对象 需要注意的是,在Python中,变量名类似__xxx__的,也就是以双下划线开头,并且以双下划线结尾的,是特殊变量,特殊变量是可以直接访问的,不是private变量,所以,不能用__na ...

6. 机器学习理论与实战（十）K均值聚类和二分K均值聚类

   接下来就要说下无监督机器学习方法,所谓无监督机器学习前面也说过,就是没有标签的情况,对样本数据进行聚类分析.关联性分析等.主要包括K均值聚类(K-means clustering)和关联分析,这两大类 ...

7. 微信小程序之----弹框组件modal

   modal modal类似于javascript中的confirm弹框,默认情况下是一个带有确认取消的弹框,不过点击取消后弹框不会自动隐藏,需要通过触发事件调用函数来控制hidden属性. 官方文档 ...

8. Oracle11g客户端client的下载与安装

   下载地址: http://www.oracle.com/technetwork/database/enterprise-edition/downloads/112010-win64soft-09446 ...

9. Linux之dmesg命令

   功能说明:显示内核缓冲区系统控制信息的工具 ,比如系统在启动时的信息会写到/var/log/中.语 法:dmesg [-cn][-s <缓冲区大小>] 补充说明:kernel会将开机信息存 ...

10. Python中类的&lowbar;&lowbar;init&lowbar;&lowbar;继承

    Python中类的__init__继承 概念: 定义父类 In [10]: class Person: ....: def __init__(self,name,age,sex): ....: sel ...