20155318 《网络攻防》Exp4 恶意代码分析

20155318 《网络攻防》Exp4 恶意代码分析

基础问题

  1. 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
    • 用sysmon软件进行监测,它会将运行的程序以日记的方式记录下来查看有无恶意代码在运行。
    • 可以使用systracer注册表分析方法进行,恶意代码入侵前后分别拍摄快照。
    • 用wireshark抓包的方法,通过查看是否有回连操作找到是否有恶意代码在运行。
  2. 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
    • 用systracer进行快照对比/在virscan上将怀疑的程序放上去进行扫描

实践内容

系统运行监控
  • 使用计划任务,每隔2分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。
  • 1072864-20180417231429668-596349395.png

  • 在C盘要目录下建一个文件c:\netstatlog.bat
  • 先创建一个.exe文件,内容为
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
  • 保存后修改文件名为“netstatlog.bat”;
  • 创建过程中出现如下问题
  • 1072864-20180417231438052-1071313275.png

  • 解决方案如下
  • 1072864-20180417231444127-748708583.png

  • 运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么。
  • 1072864-20180417231453001-1142350598.png

  • 经分析主要有vmware-authd,vmware,kxescore(金山毒霸的查杀子系统及文件实时监控服务进程),WeChat,2345Explorer,thunderplatform(迅雷),svchost.exe等等,(怪不得电脑每天这么慢……)

安装配置sysinternals里的sysmon工具

设置合理的配置文件,监控自己主机的重点事可疑行为。

  • sysmon微软Sysinternals套件中的一个工具,可以从码云项目的附件里进行下载,要使用sysmon工具配置文件Sysmoncfg.xml
  • 1072864-20180417231507001-2017203486.png

  • 配置好文件之后,使用sysmon -accepteula -i -nsysmon -c Sysmoncfg.xml进行安装:
  • 1072864-20180417231512472-2037805720.png

  • 安装完成之后,看看sysmon是否在运行
  • 1072864-20180417231518520-114177940.png

  • 打开事件查看器,如下图:
  • 1072864-20180417231524326-872062824.png

  • 查看部分事件的详细信息
  • 临时文件(APP缓存数据)
  • 1072864-20180417231534645-43158428.png

  • 使用2345浏览器
  • 1072864-20180417231539983-554118869.png

  • 使用微信
  • 1072864-20180417231544837-1367167138.png

  • 使用kali进行后门回连
  • 1072864-20180417231550712-1156655246.png

  • sysmon立即捕捉到后门程序的运动
  • 1072864-20180417231655032-909675825.png

  • 1072864-20180417231701564-1337888893.png

  • 运行dir后,我们发现了一个非常重要的进程svchost.exe,它是视窗操作系统里的一个系统进程,管理通过Dll文件启动服务的其它进程
  • 1072864-20180417231713099-497045108.png

  • dllhost.exe是微软Windows操作系统的一部分。dllhost.exe用于管理DLL应用,是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。
  • 1072864-20180417231718415-1294653305.png

恶意软件分析

分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件

(1)读取、添加、删除了哪些注册表项

(2)读取、添加、删除了哪些文件

(3)连接了哪些外部IP,传输了什么数据(抓包分析)

下载安装Systracer(端口号设置成学号)

  • 1072864-20180417231732270-1450917239.png

  • 一开始在目标主机上进行快照保存为Snapshot #1;
  • 1072864-20180417231737392-1437026343.png

  • 在虚拟机中生成后门软件,将文件传到目标主机后快照保存为Snapshot #2;
  • 在虚拟机开启监听的情况下,在目标主机运行后门程序后快照保存为Snapshot #3;
  • 1072864-20180417231744077-471610066.png

  • 进行分析
  • 点击上方“Applications”->左侧“Running Processes”->找到后门进程“5318exp4_backdoor.exe”->点击“Opened Ports”查看回连地址、远程地址和端口号:
  • 1072864-20180417231752158-840319315.png

  • 蓝色标注的地方,就是前后发生变化的地方
  • 1072864-20180417231759022-1148750134.png

  • 对比两个快照
  • 1072864-20180417231809250-1271702859.png

  • 可以看到第二次两次快照中增加的部分
  • 1072864-20180417231816572-40489731.png

  • 新添加的注册表
  • 1072864-20180417231828595-2099997587.png

  • 观察其路径
  • 1072864-20180417231838702-166920854.png

用wireshark抓包分析

用wireshark抓包分析连接了哪些外部IP,传输了什么数据

  • 在回连之前,开始捕获;
  • 回连完成后结束捕获,并把过滤规则设置为ip.addr == 192.168.153.129(kali的IP)把没用的包过滤掉,下图为tcp传输的三次握手过程
  • 1072864-20180417231845371-905627793.png
使用virscan分析恶意软件

virscan网站上查看上次实验所做的后门软件的文件行为分析

  • 1072864-20180417231851685-1433969566.png

实验总结与体会

本次实验让我了解了使用sysmon工具、schtasks指令监控系统运行,用virscan、systracer工具、wireshark分析恶意代码、软件、回连的情况,体会到监查对查杀恶意代码的重要性!同时也对自身电脑被部分软件占用很大一部分进程感到震惊……

转载于:https://www.cnblogs.com/lxy1997/p/8870789.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值