20145307陈俊达《网络对抗》Exp4 恶意代码分析

基础问题回答

如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

使用schtasks指令设置一个计划任务，指定每隔一定时间记录主机的联网记录或者是端口开放、注册表信息来分析有没有可以的相关记录

通过sysmon工具，配置好记录事件的文件，之后在事件查看器里找到相关日志文件查看；

使用Process Explorer工具，监视进程执行情况，查看是否有程序调用了异常的dll库之类的。

总之就是用各种工具各种手段来监视dll动态库 ip开放端口注册列表 pid进程之类的敏感接口来操作监视

如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

Wireshark进行抓包分析，查看该程序联网时进行了哪些操作收发了那些数据包

systracer工具分析某个程序执行前后，拍下snapshot快照分析计算机注册表、文件、端口的变化

用peid来分析可执行文件的构造编码运行 debug方式等等

使用schtasks指令监控系统运行

先在C盘目录下建立一个netstatlog.bat文件，之后修改后缀名，使它成为一个批处理文件.dat，用来将记录的联网结果格式化输出到netstatlog.txt文件中，netstatlog.bat内容为：
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

用leafpad键入也行，用terminal键入也行

打开Windows下命令提示符，输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务：

之后查看一下netstatlog.txt

可以发现很多程序联网，比如迅雷thunder.exe

使用sysmon工具监控系统运行

sysmon微软Sysinternals套件中的一个工具,安装需要配置文件，按照git上的代码进行配就行之后执行安装

之后打开事件管理器,分析一波

来先搞一个分析一波

一看这是vmware带的服务程序 apr 3th运行的，具体是啥讲道理vmware带的那一堆服务我也不清楚啊，但是还是这种虚拟化程序还是挺神奇的。你看最后一行有个啥1366 768 那是我电脑的分辨率规格估计这个东西跟输出显示有关吧我猜的

web网站分析

这是我们之前创建的程序，搞到网上test一下。

可以看到文件类型exe可执行文件版本2.2 外壳信息连接的ip，第三位是199，网站把ip打了马赛克看他是啥行为哇这人居然要删除我的注册列表这就过分了啊显然是恶意软件无疑嘻嘻这个web分析还是挺厉害的嘛

使用systracer工具分析恶意软件

注意这个软件没购买它的快照次数和能保存的快照都有限，别搞事安装了赶紧使用快照，不然你的次数用完就完蛋了

就一个没恶意代码一个有代码一个运行exploit之后一个kali主机dir命令下传后对快照进行compare比对问题他甚至可以输出为pdf文件你可以试一下export导出慢慢分析

使用Process Explorer分析恶意软件

使用Process Explorer对恶意软件进行分析时可以看到启动回连时在运行的后门程序：

后门程序还是那个hackit.exe 可以观察到在cmd下他在运行

双击打开详情可以看到它的远程ip 是我的kali的ip

这很恐怖居然暴露了我的kali主机ip 恐怖恐怖

使用Process Monitor分析恶意软件

使用Process Monitor对恶意软件进行分析时可以看到很多Explorer.exe进程

可我没事闲的开那么多ie窗口干嘛这显然是恶意软件的伪装伪装成了ie.exe

　使用PEiD分析恶意软件

使用PEiD软件可以查看恶意软件的壳的相关信息，以及其所使用的编译器版本：

心得

这次实验主要是分析要搞的代码之前就可以了主要是分析
自己的电脑要真出问题你要学会分析用什么分析呢分析哪些软件呢出问题后和出问题前有什么不同啊你看我们就能用一个快照来解决甚至可以比对文件不用我们自己慢慢的找了学了这么多还是要学会应用不要你还是啥都没学会学习怎么去解决问题这才是最刺激的最有用的 20145307继续努力