Exp4 恶意代码分析 20164313 杜桂鑫
1.实践目标
1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。
1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
2.实践内容
2.1系统运行监控
一、Windows计划任务schtasks
1.为显示日期与实践,创建 netstatlog.bat文件,可以通过修改txt文件后缀名实现,文件中内容如下:
date /t >> c:\Users\admin\netstatlog.txt
time /t >> c:\Users\admin\netstatlog.txt
netstat -bn >> c:\Users\admin\netstatlog.txt

2.在命令行中输入: schtasks /create /TN netstat /sc MINUTE /MO /TR "c:\Users\admin\netstatlog.bat" 创建windows计划,每五分钟就会监测哪些程序重在联网并记录下来。

3.以管理员身份运行netstatlog.bat文件,生成记录了监控信息的netstatlog.txt文件。

但由于没有权限所以无法自动监测,故到 “任务计划程序”中找到“netstat”进程中勾选“使用最高权限运行”。

打开“netstatlog.txt”文件可以看到计算机中联网情况。

记录中有几个进程不认识,上网搜索一下得知




导入数据到excel中进行分析
自文本中选择记录



选择数据透视表

在数据透视表中添加到行和值

最终经过排序和筛选就得出统计表

发现迅雷、苹果、wps一直在我后台运行,而windows的应用商店居然连接最多次也是出乎我的意料,我也找到了搜狐新闻一直弹出的后台程序。
二、使用sysmon工具
1.首先进入微软官网下载sysmon


2.在安装的目录下创建“20164313.xml”文件,内容如下:
<Sysmon schemaversion=3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<!-- Do not log process termination -->
<ProcessTerminate onmatch="include" />
<!-- Log network connection if the destination port equal 443 -->
<!-- or 80, and process isn't InternetExplorer -->
<NetworkConnect onmatch="include">
<DestinationPort>443</DestinationPort>
<DestinationPort>80</DestinationPort>
<DestinationPort>4313</DestinationPort>
</NetworkConnect>
<NetworkConnect onmatch="exclude">
<Image condition="end with">iexplore.exe</Image>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
3.输入“sysmon64.exe -i ”安装sysmon
若提示“You need to launch as an Administrator”,以管理员身份打开命令行就可以了。


4.输入“sysmon64.exe -c 20164313.xml”配置sysmon

提示版本不同,将“20164313.xml”文件中 <Sysmon schemaversion="3.10"> 改为 <Sysmon schemaversion="4.20">

5.win10下,左下角开始菜单右击->事件查看器->应用程序和服务日志->Microsoft->Windows->Sysmon->Operational。在这里,我们可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等等。

6.
- 打开kali,运行木马文件,使其回连kali攻击机。查看日志,通过搜索关键字可以找到相关的后门文件:


打开详细信息,可以看到这个后门映像文件的具体位置、源IP和端口、目的IP和端口等。

2.2恶意软件分析
Systracer
抓以下四种状态的包:
snapshot#1.不做任何操作,系统自然状态
snapshot#2.启动后门回连
snapshot#3.安装后门到目标主机
snapshot#4.kali提权

关注以下三个问题:
1.读取、添加、删除了哪些注册表项?
2.读取、添加、删除了哪些文件?
3.连接了哪些外部IP,传输了什么数据?
点击比较snapshot#1和snapshot#2

选择注册表项,选择仅差异,就可以看到变化的注册表项:

选择文件,浏览变化文件:


选择应用,打开端口,就可以看到ip连接情况

因为快照的时候打开其他软件,所以会有很多干扰项,需要自己仔细分析。
同上比较snapshot#1和snapshot#3
注册表一大堆。。。。看得脑壳疼

文件中可以看到后门程序被传至靶机中

可以看到ncat使用4313端口

同上比较snapshot#1和snapshot#4
注册表中可以看到系统的shell被修改了

文件中,shiyan4.exe再此被修改。

应用程序选项中,可以看到后门程序的操作

端口选项中可以看到后门程序通过2043端口与靶机通信

3.报告内容
3.1实验后回答问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
答:利用sysmon工具,配置好想要监控的端口、注册表信息、网络连接等信息,通过其生成的日志文件进行查看。
利用wireshark查看数据包。
利用sysmon进行快照,对比注册表、文件等信息。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
答:wireshark、systracer、process explorer等。
3.2实验总结与体会
这次实验难点在于分析捕获的连接和数据包,从海量的数据和文件中找到恶意文件不是一件简单的事,让我发现了自己的不足,也有所收获。
Exp4 恶意代码分析 20164313 杜桂鑫的更多相关文章
- 2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析 1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行. 分析一个恶意软件,就分析Exp2或Exp3中生成后门 ...
- 2018-2019 20165237网络对抗 Exp4 恶意代码分析
2018-2019 20165237网络对抗 Exp4 恶意代码分析 实验目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后 ...
- 2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析
2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析 实验内容(概要) 一.系统(联网)运行监控 1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,逐步排查并且 ...
- 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析
- 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析 - 实验任务 1系统运行监控(2分) (1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP ...
- 2018-2019-2 20165239《网络对抗技术》Exp4 恶意代码分析
Exp4 恶意代码分析 实验内容 一.基础问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. •使用w ...
- 2018-2019 20165235 网络对抗 Exp4 恶意代码分析
2018-2019 20165235 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件 ...
- 2018-2019-2 网络对抗技术 20162329 Exp4 恶意代码分析
目录 Exp4 恶意代码分析 一.基础问题 问题1: 问题2: 二.系统监控 1. 系统命令监控 2. 使用Windows系统工具集sysmon监控系统状态 三.恶意软件分析 1. virustota ...
- 20155312 张竞予 Exp4 恶意代码分析
Exp4 恶意代码分析 目录 基础问题回答 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. (2)如果 ...
- 2018-2019-2 《网络对抗技术》Exp4 恶意代码分析 Week6 20165311
2018-2019 20165311 网络对抗 Exp4 恶意代码分析 2018-2019 20165311 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控(2分) 恶意软件分析(1.5分) ...
随机推荐
- java-14习题
.使用TreeSet集合生成一个不重复随机数组,该数组包含10个100以内的随机整数.输出该随机数组. import java.util.Iterator; import java.util.Tree ...
- echarts数据区域缩放(鼠标滚轮、滚动条、拉选框)
当一个echarts图表上的数据很多时,想要查看部分区域的数据状态,可以通过数据区域缩放来实现,现总结三个方法: 鼠标滚轮缩放: var arr = []; for(var i = 0;i<15 ...
- 搭建开发环境1)安装VMware Tools
1.安装Vmware Tools 安装VMware Tools ,在虚拟机中装Linux 一般都不是默认全屏这个就需要安装VMware Tools的插件或者写个脚本文件每次启动的时候自动调整分辨率的大 ...
- LeetCode 136. Single Number C++ 结题报告
136. Single Number -- Easy 解答 相同的数,XOR 等于 0,所以,将所有的数字 XOR 就可以得到只出现一次的数 class Solution { public: int ...
- 设置table的每竖的宽度
- VS2017 C/C++输入密码显示*星号
VS2017 C/C++输入密码显示*星号 _getch()函数使用时遇到的坑 参考: https://blog.csdn.net/guin_guo/article/details/46237905 ...
- 使用python调用其他脚本
cmd = '<command line string>' print(cmd) p = subprocess.Popen(args=cmd, shell=True, stdout=sub ...
- Ntrip协议简介(转)
原文地址:https://blog.csdn.net/sinat_19447667/article/details/67637167 1 什么是Ntrip? CORS(Continuously Ope ...
- 【转载】 Java中String类型的两种创建方式
本文转载自 https://www.cnblogs.com/fguozhu/articles/2661055.html Java中String是一个特殊的包装类数据有两种创建形式: String s ...
- ID 生成器 雪花算法
https://blog.csdn.net/wangming520liwei/article/details/80843248 ID 生成器 雪花算法 2018年06月28日 14:58:43 wan ...
