Exp4 恶意代码分析

实验目标

1.是监控你自己系统的运行状态,看有没有可疑的程序在运行。

 2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。

 3.假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行

进一步分析,好确认其具体的行为与性质。


回答问题

  1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

    监控的操作:监控恶意代码读取、添加、删除了哪些注册表项,文件,连接了哪些外部IP,传输了什么数据。

方法:通过schtasks指令设置计划任务或使用sysmon通过事件查看器进行监控。

  2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

  • 可以用systracer拍摄快照,前后比较注册项表,文件,查看连接了哪些外部IP。
  • 可以用wireshark来抓包,通过查看数据包来分析该进程的操作。

实验步骤

一、系统运行监控

1.使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

先在C盘目录下建立一个netstatlog.txt文件,再另存为重命名为netstatlog.bat内容为:

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

再输入命令schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "d:\netstatlog.bat"

即每一分钟在netstatlog.txt记录一次计算机联网情况

在netstatlog中即可看到每分钟的计算机联网程序的情况

用excel中的数据透视表更直观来表现,分析数据

选择分隔符号

全选分隔符号

选择B列作为横轴

去掉多余不用选项,生成数据透视表

1.根据表中发现360se.exe最高,因为做实验时一直开着360浏览器,360SE.exe 是360,当启动浏览器是它就会出现在任务管理器中,关闭任务管理器后会自动退出。

360Tray.exe是360安全卫士实时监控程序。

2.wspcenter.exe是WPS热点程序,wps.exe第二高,之后用sysmon分析,查找了文件来源,发现不是病毒。

3.Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。

2.安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

首先安装sysmon工具,先下载从老师给的文件库里下载压缩包,在开始安装之前

先要配置文件,我直接复制实验指导上的的配置文件内容。

开始安装sysmon

以管理员身份打开cmd,输入以下指令,安装完成。

打开计算机管理,在事件查看器中可以看到sysmon记录的内容

接着我打开kali进行回连,控制win,并进行简单操作

shellcode_upxed.exe是在exp3中生成的加壳后门软件,这次也是启动它进行回连。

在启动后门时,360杀软扫描到该后门,准备清除病毒,后来添加了可信任文件。

回连成功后在linux中进行了如下操作

发现sysmon中记录了notepad.exe程序的运行,监控到了可疑行为

后来发现很多wps.exe的监控记录

根据路径找到wps.exe,发现是文档word,不是病毒

百度了发现Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。

二、.恶意软件分析

分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时。

该后门软件(3)读取、添加、删除了哪些注册表项

(4)读取、添加、删除了哪些文件

(5)连接了哪些外部IP,传输了什么数据(抓包分析)

(一)使用systracer工具分析恶意软件

下载压缩包,安装systracer工具

建立第一个快照,即未启动恶意软件,未回连时的快照

建立第二个快照,即打开控制台,回连之后的快照

查看 读取、添加、删除了哪些注册表项 (蓝色字体表示该文件与之前相比做出了修改)

HKEY_CLASSES_ROOT包含了所有应用程序运行时必需的信息

HKEY_CURRENT_CONFIG允许软件和设备驱动程序员很方便的更新注册表,而不涉及到多个配置文件信息。

HKEY_CURRENT_USER管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码

HKEY_LOCAL_MACHINE保存了注册表里的所有与这台计算机有关的配置信息

HKEY_USERS仅包含了缺省用户设置和登陆用户的信息。

例如local settings中的software,muicache等注册表项被修改

有些修改无法查看,如下

直接view difference list查看回连前后不同注册表项

在控制台中进行如下操作,再通过快照对比查看读取、添加、删除了哪些文件

发现666.TXT文件被改动

再单看第二个快照,发现连接了外部IP , remote address 192.168.132.130

通过恶意软件打开的句柄可以发现它的操作

回连前后进程对比

恶意软件回连后,通过快照前后对比发现了shellcode_upxed.exe,可以查看到其所建立的TCP连接以及其详细的端口地址信息。

(二)使用wireshark分析恶意软件回连情况

打开wireshark进行抓包,恶意软件再进行回连进行操作。

回连的本地ip地址192.168.132.1,meterpreter中也有显示

输入ip.addr == 192.168.132.1进行过滤,查看抓到的数据包

首三行即TCP的三次握手

带有PSH,ACK的包传送的是执行相关操作指令时所传输的数据包,包含相关操作内容

.


实验总结与体会

这次实验让我了解了系统运行监控和恶意软件分析的工具运用和分析方法,实验过程中发现可疑

对象后通过百度搜索或按原路径查看文件的方法,确定了可疑对象并非恶意软件。软件工具的使

用很简单,但分析和理解工具所表示的监控内容有难度。

20164301 Exp4 恶意代码分析的更多相关文章

  1. 2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析

    2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析 1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行. 分析一个恶意软件,就分析Exp2或Exp3中生成后门 ...

  2. 2018-2019 20165237网络对抗 Exp4 恶意代码分析

    2018-2019 20165237网络对抗 Exp4 恶意代码分析 实验目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后 ...

  3. 2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析

    2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析 实验内容(概要) 一.系统(联网)运行监控 1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,逐步排查并且 ...

  4. 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析

    - 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析 - 实验任务 1系统运行监控(2分) (1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP ...

  5. 2018-2019-2 20165239《网络对抗技术》Exp4 恶意代码分析

    Exp4 恶意代码分析 实验内容 一.基础问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. •使用w ...

  6. 2018-2019 20165235 网络对抗 Exp4 恶意代码分析

    2018-2019 20165235 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件 ...

  7. 2018-2019-2 网络对抗技术 20162329 Exp4 恶意代码分析

    目录 Exp4 恶意代码分析 一.基础问题 问题1: 问题2: 二.系统监控 1. 系统命令监控 2. 使用Windows系统工具集sysmon监控系统状态 三.恶意软件分析 1. virustota ...

  8. 20155312 张竞予 Exp4 恶意代码分析

    Exp4 恶意代码分析 目录 基础问题回答 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. (2)如果 ...

  9. 2018-2019-2 《网络对抗技术》Exp4 恶意代码分析 Week6 20165311

    2018-2019 20165311 网络对抗 Exp4 恶意代码分析 2018-2019 20165311 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控(2分) 恶意软件分析(1.5分) ...

随机推荐

  1. 【Java集合系列四】HashSet和LinkedHashSet解析

    2017-07-29 16:58:13 一.简介 1.Set概念 Set可以理解为集合,非常类似数据概念中的集合,集合三大特征:1.确定性:2.互异性:3.无序性,因此Set实现类也有类似的特征. 2 ...

  2. Dictionary集合运用

    Dictionary基础定义: 从一组键(key)到一组值(value)的映射,每一个添加项都是由一个值及其相关联的键组成: 任何键都必须是唯一的: 键不能为空引用的null(VB中的Nothing) ...

  3. django 模板 (ああああああああ!かぴ)

    一 常用 1. {{ 不存在 | default : "xx" }} 2. {{ name | length }} 3. {{ xx | slice "1:-1" ...

  4. 使用VBA轻松实现汉字与拼音的转换

    Function pinyin(p As String) As String i = Asc(p) Select Case i Case -20319 To -20318: pinyin = &quo ...

  5. Charles几个常用测试功能小结

    Charles应该是目前最常用的代理软件(之一),使用简单.Charles强大的抓包与协议调试代理功能可以满足我们大部分需求,居然还免费(我可没说有破解版).日常测试中,我吗常用的几个功能主要是抓取网 ...

  6. 转:vim模式下报错E37: No write since last change (add ! to override)

    故障现象: 使用vim修改文件报错,系统提示如下: E37: No write since last change (add ! to override) 故障原因: 文件为只读文件,无法修改. 解决 ...

  7. JS快排

  8. 蓝屏代码PAGE_FAULT_IN_NONPAGED_AREA的解决方法

    就在昨天晚上,小王同学的电脑继1803更新后第4次蓝屏了,原本蓝屏后自动重启后就会恢复正常,然而天真的我太低估了微软的实力.蓝屏-重启-蓝屏-重启无限循环 当然,重启几次就进入了高级模式 高级模式 进 ...

  9. leetcode 买卖股票问题

    leetcode121 Best Time to Buy and Sell Stock 说白了找到最大的两组数之差即可 class Solution { public: int maxProfit(v ...

  10. python基础---列表生成器、迭代器等

    一.列表生成式 用来创建list的表达式,相当于for循环的简写形式 语法: [表达式 for循环 判断条件] ''' 普通写法 ''' def test(): l= [] for i in rang ...