# 2017-2018-2 20155319『网络对抗技术』Exp4：恶意代码分析

2017-2018-2 20155319『网络对抗技术』Exp4：恶意代码分析

实验目标与基础问题

++1.实践目标++

• 监控你自己系统的运行状态，看有没有可疑的程序在运行。
• 分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
• 假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

++2.基础问题回答++

• 问：如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。
• 1.使用windows自带的schtasks指令设置批处理任务，每隔一段时间进行监控什么应用程序联网。2.使用sysmon工具。
• 问：如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。
• 用wireshark抓包或者systracer分析恶意软件。

实践过程记录

一、使用schtasks指令监控系统

1.使用schtasks /create /TN netstat19 /sc MINUTE /MO 20 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令创建计划任务netstat19，如下图所示

• TN是TaskName的缩写，我们创建的计划任务名是netstat19;
• sc表示计时方式，我们以分钟计时填MINUTE；
• TR=Task Run，要运行的指令是 netstat
• -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口;
• c:\netstatlog.txt类似于Linux中的重定向，输出将存放在C盘下的netstatlog.txt文件中（自动生成）。

2.在C盘中创建一个netstat5319.bat脚本文件（先创建txt文本文件，使用记事本写入后修改成.bat文件，提供管理员权限移动到C盘）指令如下：

date /t >> c:\netstat.txt
time /t >> c:\netsta.txt
netstat -bn >> c:\netstat.txt

3.打开任务计划程序，可以查看新创建的这个任务：

4.双击这个任务，按下图操作，注意勾选最高权限运行将“程序或脚本”改为我们创建的netstat5319.bat批处理文件，确定即可。

5.在c盘中查看生成的txt文件，参考学姐的博客20144306《网络对抗》MAL_恶意代码分析导入到excel中分析。

二、使用sysmon工具监控系统

• sysmon是微软Sysinternals套件中的一个工具，使用sysmon工具前首先要配置文件。

第一步： 创建配置文件Sysmon20155319.txt，写入自己要记录的项，进程创建、进程创建时间、网络连接等。

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>

    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">
      <DestinationPort condition="is">80</DestinationPort>
      <DestinationPort condition="is">443</DestinationPort>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

第二步： 启动sysmon。

1.下载老师码云的SysinternalsSuite201608压缩包，解压。

2.在命令提示符（管理员）中进入到该目录下。

3.安装sysmon：执行命令sysmon.exe -i C:\5319Sysmon.txt。

4.安装成功截图如下：

第三步： 在事件查看器里查看日志

• 右键进入计算机管理，找到事件查看器。点击“事件查看器”右侧小箭头，选择日志的位置：应用程序和服务日志/Microsoft/Windows/Sysmon/Operational。利用Sysmon具体分析日志的例子我选择了自己实验二中生成的后门r5319.exe进行分析。
  
  

• 回连
  
  

• conhost.exe是命令行程序的宿主进程。简单的说他是微软出于安全考虑，在windows 7和Windows server 2008中引进的新的控制台应用程序处理机制。这个好像和后门没什么关系。
  
  

• 输入shell获取权限主机调用cmd。
  
  

三、使用VirusTotal分析恶意软件

• 把生成的恶意代码放在VirusTotal进行分析如下：
  
  

• 可以查看这个恶意代码的基本属性：
  
  

• 恶意代码的算法库情况：
  
  

四、使用systracer分析恶意软件

• 由于再主机中做快找时间长，我选择在win7虚拟机中进行。

• 在win7虚拟机安装SysTracer软件

• 将木马植入靶机，对靶机注册表、文件等进行快照，保存为Snapshot #1

• 打开kali的msfconsle，靶机运行木马，回连kali，win7下再次快照，保存为Snapshot #2

• 在kali中对靶机进行屏幕截图，win7下再次快照，保存为Snapshot #3

• 在kali中对靶机进行提权操作，win7下再次快照，保存为Snapshot #4
  
  

• 点击右下角“Compare”，比较快照的不同之处。
  
  

实践总结及体会

本次实验的内容十分丰富，我学习使用了数款用于检测恶意代码的指令或是软件，例如SysTracer、sysmon等。这些工具都能很好地辅助我们对主机进行监控，以发现恶意行为并进行及时处理。通过实验自己深切感受到监控系统的重要性，定期检查监控发现恶意代码！