恶意代码分析

实践目标

  • 1是监控你自己系统的运行状态,看有没有可疑的程序在运行。

  • 2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。

  • 3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

实践内容

(一)系统运行监控

(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

1.使用schtasks指令,配置监控

schtasks /create /TN netstat5213 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > d:\netstat5213.txt"

  1. 在d盘创建netstat5213.bat,将下列内容写入进去,此方式会将监控的内容保存到txt文件中。

date /t >> d:\netstat5213.txt

time /t >> d:\netstat5213.txt

netstat -bn >> d:\netstat5213.txt

3.打开任务计划程序,双击netstat,->操作。

  • 点击编辑,将程序和脚本框中的内容填为D:\netstat5213.bat,确认,运行,等待后netstat20165213.txt中得到监控到的网络信息。

4.新建excel,在数据一栏中选中自文本,导入netstat20165213.txt后,选择区段后插入数据透视表,得到字段。

5.建立数据透视图,进行分析。

TCP不算做软件,其他数据传输量最大的是qq,由于监听的时间不是特别长,所以其他几个软件并没有监听到较大的数据量。

(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

1.下载sysmon,下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmon

安装:sysmon -accepteula -i -n

2.根据版本号,将下列代码写入新建的Sysmon20165213.xml中。

*









microsoft

windows

<NetworkConnect onmatch="exclude">

  <Image condition="end with">chrome.exe</Image>

  <Image condition="end with">iexplorer.exe</Image>

  <Image condition="end with">firefox.exe</Image>

  <SourcePort condition="is">137</SourcePort>

  <SourceIp condition="is">127.0.0.1</SourceIp>

  <DestinationPort condition="is">80</DestinationPort>

  <DestinationPort condition="is">443</DestinationPort>

</NetworkConnect>

<CreateRemoteThread onmatch="include">

  <TargetImage condition="end with">explorer.exe</TargetImage>

  <TargetImage condition="end with">firefox.exe</TargetImage>

  <TargetImage condition="end with">svchost.exe</TargetImage>

  <TargetImage condition="end with">winlogon.exe</TargetImage>

  <SourceImage condition="end with">powershell.exe</SourceImage>

</CreateRemoteThread>

<ProcessCreate onmatch="include">

  <Image condition="end with">chrome.exe</Image>

  <Image condition="end with">iexplorer.exe</Image>

  <Image condition="end with">firefox.exe</Image>

</ProcessCreate>

<FileCreateTime onmatch="exclude" >

  <Image condition="end with">firefox.exe</Image>

</FileCreateTime>

<FileCreateTime onmatch="include" >

  <TargetFilename condition="end with">.tmp</TargetFilename>

  <TargetFilename condition="end with">.exe</TargetFilename>

</FileCreateTime>

3.输入命令sysmon -c C:/Sysmon20165213.xml

4.打开时间查看器,点击应用程序和服务日志/Microsoft/Windows/Sysmon,点开Operations查看。

5.利用生成的后门程序,监听,获得pid,uid信息。

(二)恶意软件分析

(3)分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件读取、添加、删除了哪些注册表项

(4)分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件读取、添加、删除了哪些文件

(5)分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件连接了哪些外部IP,传输了什么数据(抓包分析)

process monitor

1.process monitor 分析,使用kali监听,打开5213.exe,文件,获取win7的权限。

2.在filter中添加对5213.exe的监控,完成后可以观察记录结果

virus total

1.登录网址:https://www.sogou.com/link?url=hedJjaC291M1DfXRR_D6Ms9WqBXzIBA006jqesMEqQY.

2.选择文件,分析

  • 从图中可以看出MD5,SHA1等的密文,以及其他的各类信息。

Peid

1.这是一个判断一个软件有没有加壳的软件。

2.首先下载软件,打开,选择分别打开文件5213.exe,20165213.exe(加壳),得到的结果如下,Peid能分析出来是否加壳并分析出壳的种类。

process Explorer

1.由Sysinternals开发的Windows系统和应用程序监视工具,目前已并入微软旗下。不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框(增加了进程存活时间图表)、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像(DLL和内核模式驱动程序)加载、系统引导时记录所有操作等。

2.下载打开process Explorer,kali打开监听,win7运行后可以在界面中观察到该进程的信息。

Systracer

1.基本步骤如下:

  • 打开未植入后门的win7虚拟机保存快照,命名为Snapshot #1

  • 将木马植入win7,对win7注册表、文件等进行快照,保存为Snapshot #2

  • 打开kali的msfconsle,win7运行木马,回连kali,保

    存为Snapshot #3

  • 在kali中对靶机进行查看文件操作ls,win7下再次快照,保存为Snapshot #4

  • 在kali中对靶机进行屏幕截图操作,win7下再次快照,保存为Snapshot #5

  • 点击compare,选择only difference,可以看到old和new中的变化

实践问题回答

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

  • 使用schtasks指令,配置监控schtasks /create /TN netstat5213 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > d:\netstat5213.txt",监听完之后可以用办公软件如excel建立图表进行查看。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

  • 可以使用process monitor,在filter中添加自己想要观测的进程或程序,该进程或程序所进行的操作会实时在process monitor中显示出来。

实验总结与体会

在做完本次实验后,我掌握了对自己电脑具体软件运行情况的监控方法,以及在不了解自己电脑是否中病毒时,进行检测查找,又或是怀疑某个进程或软件有问题时可以对其进行实时监控。综上,我对于自己电脑安全问题有了更好的把握。

20165213 Exp4 恶意代码分析的更多相关文章

  1. 2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析

    2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析 1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行. 分析一个恶意软件,就分析Exp2或Exp3中生成后门 ...

  2. 2018-2019 20165237网络对抗 Exp4 恶意代码分析

    2018-2019 20165237网络对抗 Exp4 恶意代码分析 实验目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后 ...

  3. 2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析

    2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析 实验内容(概要) 一.系统(联网)运行监控 1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,逐步排查并且 ...

  4. 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析

    - 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析 - 实验任务 1系统运行监控(2分) (1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP ...

  5. 2018-2019-2 20165239《网络对抗技术》Exp4 恶意代码分析

    Exp4 恶意代码分析 实验内容 一.基础问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. •使用w ...

  6. 2018-2019 20165235 网络对抗 Exp4 恶意代码分析

    2018-2019 20165235 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件 ...

  7. 2018-2019-2 网络对抗技术 20162329 Exp4 恶意代码分析

    目录 Exp4 恶意代码分析 一.基础问题 问题1: 问题2: 二.系统监控 1. 系统命令监控 2. 使用Windows系统工具集sysmon监控系统状态 三.恶意软件分析 1. virustota ...

  8. 20155312 张竞予 Exp4 恶意代码分析

    Exp4 恶意代码分析 目录 基础问题回答 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. (2)如果 ...

  9. 2018-2019-2 《网络对抗技术》Exp4 恶意代码分析 Week6 20165311

    2018-2019 20165311 网络对抗 Exp4 恶意代码分析 2018-2019 20165311 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控(2分) 恶意软件分析(1.5分) ...

随机推荐

  1. 三、Python-列表

    一.序列:是一块用于存放多个值的连续内存空间,并且按一定顺序排列,可以通过索引取值 索引:从左到右的索引从0开始依次增加的正整数:从右到左的索引为-1开始的复数 切片(分片):一中获取序列中的元素的方 ...

  2. 关于std::thread

    std::thread基本用法 1.普通函数: std::thread thread(func, param, ...) 2.类成员函数: std::thread thread(&class_ ...

  3. signalR客户端调用服务端方法失败

    现象: 在VS中修改集线器代码后,重新生成解决方案,客户端js调用服务端方法提示undefined. 检查后台代码未发现错误. 检查js代码未发现错误(方法名称符合小驼峰规范). 解决方法: 先清理解 ...

  4. 数据库分库分表(sharding)系列

    数据库分库分表(sharding)系列     目录; (一) 拆分实施策略和示例演示 (二) 全局主键生成策略 (三) 关于使用框架还是自主开发以及sharding实现层面的考量 (四) 多数据源的 ...

  5. Activiti 框架学习

    1:工作流的概念 说明: 1)      假设:这两张图就是华谊兄弟的请假流程图 2)      图的组成部分: 人物:范冰冰 冯小刚 王中军 事件(动作):请假.批准.不批准 工作流(Workflo ...

  6. Head First Java.(第2版)

    优点:语法 面向对象 内存管理 和最棒的跨平台可移植性 缺点: 慢 JVM Java(虚拟机) 编译后的字节码与平台无关. 你的朋友不会买一台真正的Java机器,但是他们都会有Java虚拟机(通过软件 ...

  7. 快速理解高性能HTTP服务端的负载均衡技术原理(转)

    1.前言 在一个典型的高并发.大用户量的Web互联网系统的架构设计中,对HTTP集群的负载均衡设计是作为高性能系统优化环节中必不可少的方案.HTTP负载均衡的本质上是将Web用户流量进行均衡减压,因此 ...

  8. Calico搭建配置

    Calico 是一个纯三层的协议,为 OpenStack 虚机和 Docker 容器提供多主机间通信.Calico 不使用重叠网络比如 flannel 和 libnetwork 重叠网络驱动, Cal ...

  9. cpanm Plack相关

    1.curl -L https://cpanmin.us | perl - --sudo App::cpanminus 参考:https://metacpan.org/pod/App::cpanmin ...

  10. Container and Injection in Java

    一.Container 1.为什么使用Container 通常,瘦客户端多层应用程序很难编写,因为它们涉及处理事务和状态管理.多线程.资源池和其他复杂的低级细节的复杂代码行.基于组件和独立于平台的Ja ...