exp4恶意代码分析实验报告-20202127

一、实验目标

1.监控自己系统的运行状态，看有没有可疑的程序在运行。
2.分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
3.假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

二、实验内容

系统运行监控

• 使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果。

• 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件：

• 读取、添加、删除了哪些注册表项

• 读取、添加、删除了哪些文件、

• 连接了哪些外部IP，传输了什么数据

三、基础知识

1. 恶意代码

定义：泛指指没有作用却会带来危险的代码，即使计算机按照攻击者的意图运行以达到恶意目的的指令集合。

指令集合: 二进制执行文件, 脚本语言代码, 宏代码, 寄生在文件、启动扇区的指令流

特征：①本身是计算机程序 ②有恶意的目的 ③ 通过执行发生作用

目的：技术炫耀/恶作剧、远程控制、窃取私密信息、盗用资源、 拒绝服务/破坏,…

常见的恶意代码：计算机病毒、蠕虫、恶意移动代码、后门、特洛伊木马、僵尸程序、Rootkit、逻辑炸弹…

计算机病毒：需要传播受感染的驻留文件来进行复制，一般需要宿主程序被执行或人为交互才能运行。普通病毒的传染能力主要是针对计算机内的文件系统而言。

蠕虫：是一种通过网络传播的恶性病毒，它不使用驻留文件即可在系统之间进行自我复制，蠕虫病毒的传染目标是互联网内的所有计算机。

2. schtasks

定义：计划命令，程序以定期或在特定时间运行，在计划中添加和删除任务，启动和停止按需任务，以及显示和更改计划任务。

schtasks.exe 工具与控制面板 中的 “计划任务” 执行相同的操作。

语法：schtasks +参数 参数如下：

change：更改任务
create：计划新的任务。
delete：删除计划任务。
end：停止任务启动的程序。
query：显示计划在计算机上运行的任务。
run：立即启动计划任务。

3. sysmon

定义：sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上，并保持常驻性。

sysmon用来监视和记录系统活动，并记录到windows事件日志，可以提供有关进程创建，网络链接和文件创建时间更改的详细信息。

可选择的事件过滤器有：

ProcessCreate 进程创建
FileCreateTime 进程创建时间
NetworkConnect 网络链接
ProcessTermina 进程结束
DriverLoad 驱动加载
ImageLoad 镜像加载
CreateRemoteTh 远程线程创建
RawAccessRead 驱动器读取
ProcessAccess 进程访问
FileCreate 文件创建
RegistryEvent 注册表事件
FileCreateStre 文件流创建

四、实验过程

1.使用schtasks指令监控系统

在命令行中输入以下命令，创建任务计划netstat2127

schtasks /create /TN netstat2127 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > d:\netstat2127.txt

在D盘中创建一个脚本文件 netstat2127.bat
因为不能直接写入.bat文件，所以我在D盘创建了一个netstat2127.txt文本文件，并写入以下内容：

date /t >> d:\netstat2127.txt 
time /t >> d:\netstat2127.txt 
netstat -bn >> d:\netstat2127.txt

在Windows的任务计划程序中，可以查看到新创建的任务：

双击这个任务，点击操作并编辑，将“程序或脚本”改为我们创建的 netstat2127.bat 批处理文件的位置，点击确定。

在"条件"选项卡中可以看到，电源选项中默认操作为“只有在计算机使用交流电源时才启动此任务”，那么使用电池电源时就会停止任务。为了我们统计足够多的数据，这个选项取消掉。

编辑属性，勾选上这个脚本“使用最高权限运行”。然后再右键点击运行。

这时可以看到E盘下出现了三个文件，如下图示：

在wps的Excel表格中分析记录的数据

导入文本数据：新建excel文件->选择上方“数据”->选择“导入数据”->选择“导入数据”->选择“直接打开数据文件”

选择数据源文件：在E盘中选中netstat2127.txt

依次选择其他编码、分隔符号，然后将分隔符号的所有选项都选中，点击完成即可

创建数据透视图

选中我们所要分析的列，选择“插入”——数据透视图——新工作表

在新的工作表中，在右侧字段列表中筛选我们不需要的字段

将字段列表拖到下方的行和值中，就生成了我们所需的数据透视图

分析：
从图中可以看出位居第一位的是TCP，连接的外部地址是我打开的相关页面的，大多为http和https连接；

第二个多的就是SearchApp .exe是与Windows搜索功能相关的可执行文件。在以前构建的Windows 10中，SearchApp.exe与Cortana和Windows 10中的搜索功能有关。

第三个多的是wpscloudsvr.exe，是我的wps后台云服务。

其他的就是firefox.exe（火狐浏览器）和其他的进程。

2.使用sysmon工具监控系统

明确要监控的目标。我在这里选择的是：

进程创建ProcessCreate
进程创建时间FileCreatTime
网络连接NetworkConnect、远程线程创建CreateRemoteThread。

编写xml配置文件：

在sysmon所在的文件夹下：

<