exp4恶意代码分析实验报告-20202127

一、实验目标

1.监控自己系统的运行状态，看有没有可疑的程序在运行。
2.分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
3.假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

二、实验内容

系统运行监控

• 使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果。

• 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件：

• 读取、添加、删除了哪些注册表项

• 读取、添加、删除了哪些文件、

• 连接了哪些外部IP，传输了什么数据

三、基础知识

1. 恶意代码

定义：泛指指没有作用却会带来危险的代码，即使计算机按照攻击者的意图运行以达到恶意目的的指令集合。

指令集合: 二进制执行文件, 脚本语言代码, 宏代码, 寄生在文件、启动扇区的指令流

特征：①本身是计算机程序 ②有恶意的目的 ③ 通过执行发生作用

目的：技术炫耀/恶作剧、远程控制、窃取私密信息、盗用资源、 拒绝服务/破坏,…

常见的恶意代码：计算机病毒、蠕虫、恶意移动代码、后门、特洛伊木马、僵尸程序、Rootkit、逻辑炸弹…

计算机病毒：需要传播受感染的驻留文件来进行复制，一般需要宿主程序被执行或人为交互才能运行。普通病毒的传染能力主要是针对计算机内的文件系统而言。

蠕虫：是一种通过网络传播的恶性病毒，它不使用驻留文件即可在系统之间进行自我复制，蠕虫病毒的传染目标是互联网内的所有计算机。

2. schtasks

定义：计划命令，程序以定期或在特定时间运行，在计划中添加和删除任务，启动和停止按需任务，以及显示和更改计划任务。

schtasks.exe 工具与控制面板 中的 “计划任务” 执行相同的操作。

语法：schtasks +参数 参数如下：

change：更改任务
create：计划新的任务。
delete：删除计划任务。
end：停止任务启动的程序。
query：显示计划在计算机上运行的任务。
run：立即启动计划任务。

3. sysmon

定义：sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上，并保持常驻性。

sysmon用来监视和记录系统活动，并记录到windows事件日志，可以提供有关进程创建，网络链接和文件创建时间更改的详细信息。

可选择的事件过滤器有：

ProcessCreate 进程创建
FileCreateTime 进程创建时间
NetworkConnect 网络链接
ProcessTermina 进程结束
DriverLoad 驱动加载
ImageLoad 镜像加载
CreateRemoteTh 远程线程创建
RawAccessRead 驱动器读取
ProcessAccess 进程访问
FileCreate 文件创建
RegistryEvent 注册表事件
FileCreateStre 文件流创建

四、实验过程

1.使用schtasks指令监控系统

在命令行中输入以下命令，创建任务计划netstat2127

schtasks /create /TN netstat2127 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > d:\netstat2127.txt

在D盘中创建一个脚本文件 netstat2127.bat
因为不能直接写入.bat文件，所以我在D盘创建了一个netstat2127.txt文本文件，并写入以下内容：

date /t >> d:\netstat2127.txt 
time /t >> d:\netstat2127.txt 
netstat -bn >> d:\netstat2127.txt

在Windows的任务计划程序中，可以查看到新创建的任务：

双击这个任务，点击操作并编辑，将“程序或脚本”改为我们创建的 netstat2127.bat 批处理文件的位置，点击确定。

在"条件"选项卡中可以看到，电源选项中默认操作为“只有在计算机使用交流电源时才启动此任务”，那么使用电池电源时就会停止任务。为了我们统计足够多的数据，这个选项取消掉。

编辑属性，勾选上这个脚本“使用最高权限运行”。然后再右键点击运行。

这时可以看到E盘下出现了三个文件，如下图示：

在wps的Excel表格中分析记录的数据

导入文本数据：新建excel文件->选择上方“数据”->选择“导入数据”->选择“导入数据”->选择“直接打开数据文件”

选择数据源文件：在E盘中选中netstat2127.txt

依次选择其他编码、分隔符号，然后将分隔符号的所有选项都选中，点击完成即可

创建数据透视图

选中我们所要分析的列，选择“插入”——数据透视图——新工作表

在新的工作表中，在右侧字段列表中筛选我们不需要的字段

将字段列表拖到下方的行和值中，就生成了我们所需的数据透视图

分析：
从图中可以看出位居第一位的是TCP，连接的外部地址是我打开的相关页面的，大多为http和https连接；

第二个多的就是SearchApp .exe是与Windows搜索功能相关的可执行文件。在以前构建的Windows 10中，SearchApp.exe与Cortana和Windows 10中的搜索功能有关。

第三个多的是wpscloudsvr.exe，是我的wps后台云服务。

其他的就是firefox.exe（火狐浏览器）和其他的进程。

2.使用sysmon工具监控系统

明确要监控的目标。我在这里选择的是：

进程创建ProcessCreate
进程创建时间FileCreatTime
网络连接NetworkConnect、远程线程创建CreateRemoteThread。

编写xml配置文件：

在sysmon所在的文件夹下：

<Sysmon schemaversion="4.83">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

参数解释：

exclude：相当于白名单，不用记录。include相当于黑名单。

ProcessCreate：进程创建。Image condition要根据自己使用的浏览器更改。由于我使用的是firefox浏览器，所以在我的配置文件中，排除了（不记录）进程名为firefox.exe的进程。但是要记录以cmd.exe结尾的进程记录。(大家如果有用别的浏览器的：比如Edge，在这里可以替换）

FileCreatTime：进程创建时间。这里排除（不记录）浏览器进程的创建时间。

NetworkConnect：网络连接。过滤掉（不记录）浏览器的网络连接，源IP地址为127.0.0.1、源端口为137的连接服务。包含（记录）目的端口为80(http)和443(https)的网络连接。

137端口：提供局域网中ID或IP查询服务，一般安装了NetBIOS协议后，该端口会自动处于开放状态。

127.0.0.1：环回地址，表示本机。

CreateRemote：远程线程创建。记录的线程如下：

explorer.exe：Windows程序管理器或者文件资源管理器

svchost.exe：一个属于微软Windows操作系统的系统程序，是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。

winlogon.exe：Windows NT 用户登陆程序，用于管理用户登录和退出。

powershell.exe：专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境，两者既可以独立使用也可以组合使用。

启动sysmon（要以管理员的身份运行命令行）

输入命令Sysmon64.exe -i sysmon20202127.xml，安装sysmon，结果如下：

使用事件查看器分析进程

查看“事件查看器”，选择日志的位置，应用程序和服务日志/Microsoft/Windows/Sysmon/Operational

在这里，我们可以看到按照配置文件的要求记录的新事件，以及事件ID、级别、任务类别、详细信息等。

运行我们在实验二中生成的后门程序20202127_backdoor.exe，并启动回连到kali虚拟机中。我们可以在事件查看器中找到此条日志

随后，我在msf监听环境下，输入了shell指令，获得了Windows的cmd：

日志如下：

然后我又输入了ipconfig指令，日志如下：

我们可以发现，此时的路径变为了SysWOW64，这是个什么文件夹呢？与system32有什么区别和联系呢？

SysWow64文件夹，是64位Windows，用来存放32位Windows系统文件的地方。Windows下面的命令行是64位的，而kali回连获得的是32位的，所以会出现此条日志。

在事件查看器中，我们还可以发现许多svchost.exe的记录。svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要，而且是不能被结束的。许多服务通过注入到该程序中启动，所以会有多个该文件的进程。

3.使用VirusTotal分析恶意软件

把keli之前生成的后门程序（已接收到win主机里的）在VirusTotal进行分析（也可以使用VirusScan工具），结果如下，被查出来的比率还是蛮高的

继续查看此恶意软件的基本属性，可以看出它的SHA-1、MD5摘要值、文件类型、文件大小，以及TRiD文件类型识别结果。

还可以看到此软件的头部、各个节的相关信息，以及引入的动态链接库

4.静态分析——PEiD软件分析恶意软件

PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470种PE文档的加壳类型和签名。

扫描模式

正常扫描模式：可在PE文档的入口点扫描所有记录的签名；

深度扫描模式：可深入扫描所有记录的签名，这种模式要比上一种的扫描范围更广、更深入；

核心扫描模式：可完整地扫描整个PE文档，建议将此模式作为最后的选择。PEiD内置有差错控制的技术，所以一般能确保扫描结果的准确性。前两种扫描模式几乎在瞬间就可得到结果，最后一种有点慢，原因显而易见。

查看实验二中生成的普通后门文件

发现显示：yoda’s Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)*

上网查了资料以后，总结如下：
用PEiD检测壳为：yoda’s Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)*

两种情况：
1）其他壳伪装成yoda’s Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)
2）没有加壳，作者加了花指令，伪装成yoda’s Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h)

此处应该是没有加壳的，也就是第二种情况。

查看加了压缩壳的文件

将原来的后门文件用upx 20202127_backdoor.exe -o 20201217backdoor_upx.exe进行压缩，随后拖到桌面上检测：

查看加了压缩壳之后又添加加密壳的文件

首先sudo apt-get install hyperion
man hyperion
找到原来的加密壳所在位置，在此处打开终端
cp 20201217_upx_door.exe /usr/share/windows-resources/hyperion （因为是可执行文件所以要先把我们需要加壳的文件复制到那个目录下）
cd /usr/share/windows-resources/hyperion切换到加密程序所在的目录下
-wine 20201217_upx_door.exe -v markshell.exe markshell_hyperion.exe
将文件拖动到主机，进行检测

经过上网搜索后，解析是se目前是强壳，比较难脱壳查看文件信息。看来压缩+加密还是有效果的。

5.使用PE Explorer进行分析

PE Explorer是一款资源编辑器，它支持直接查看、修改软件的资源，包括菜单、对话框、字符串表等，软件还具备有W32DASM 软件的反编译能力和PEditor软件的PE文件头编辑功能。

我们用它打开20202127_backdoor.exe，我们可以看到这个软件的文件头信息（基本信息），比如节对齐粒度、文件对齐粒度、时间戳、映像基址ImageBase等等

我们通过视图还可以查看数据目录、节头等详细信息

查看数据目录

查看节头信息

通过视图——引入可以查看此软件引用的dll

msvcrt.dll：微软在windows操作系统中提供的C语言运行库执行文件。

kernel32.dll：Windows 中非常重要的32位动态链接库文件，属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理，当Windows启动时，kernel32.dll就驻留在内存中特定的写保护区域，使别的程序无法占用这个内存区域。

advapi32.dll是一个高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关。xp系统一般位于C:\WINDOWS\system32\目录下，大小659KB。

wsock32.dll：Windows Sockets应用程序接口，用于支持很多Internet和网络应用程序。

6.使用Systracer动态分析

点击右侧的take snapshot，拍摄快照。点击start开始，不用点击stop，当拍摄完毕会自动停止。

我们总共截了以下五张快照：

快照一：未移植后门程序，保存为Snapshot #1
快照二：运行后门程序并在kali中实现回连，保存为Snapshot #2
快照三：在kali中使用dir指令，保存为Snapshot #3
快照四：在kali中使用screenshot和record_mic指令，保存为Snapshot #4
快照五：在kali中使用getuid指令，保存为Snapshot #5

对比快照一和快照二（后门程序运行前后）

可以看到新增开放了我们的后门程序20202127_backdoor.exe连接的本地地址和目标地址以及端口号

在Opened Handlers中，我们可以看到增加了一些和后门有关的文件，也删除了一些文件，发生了键值的变化

在loaded dll中，查看启动后门程序后删除的dll文件

在running processes中，点击 20202127_backdoor.exe可以与看到与此后门程序相关的系统进程。

对比快照2和快照3 （3运行了dir指令）

点击Register,可以看到快照3对根键中的内容进行了修改，对注册表中的配置信息进行了修改

在opened ports中看到主机端口与虚拟机ip及相关端口间的交互：

在running processes中，查看被删除的conhost.exe

对比快照3和快照4（4使用了screenshot和record_mic指令）

我们发现多出来了svchost程序

删除和更改了之前建立的调用许多DLL的过程

对比快照4和快照5（5使用了getuid指令）

在opened ports中，可以看到新建连接的SYN消息包信息和端口号2127。

7.使用wireshark抓包分析恶意软件

运行后门20202127_backdoor.exe，在kali中回连。把过滤规则设置为ip.addr == 192.168.244.128，只留下与kali机有关的包

我们可以看到前三个包为TCP连接的三次握手

在kali中输入dir，发现wireshark又捕获到了许多PSH+ACK包，可以判断有数据在传输

五、实验后问题回答

1.如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

使用windows自带的schtasks指令，设置一个计划任务，监视系统进程的运行情况。在一段时间后，将所得数据在Excel中得到数据透视图，继续进行分析。
使用Sysmon，编写配置文件，记录有关的系统日志
使用Process Explorer工具，监视进程执行情况。
使用Process Monitor工具，监视文件系统、注册表、进程/线程的活动。
使用SysTracer，一定时间间隔拍摄一张快照，对比不同快照，查看是否有可疑行为。

2.如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

静态分析
使用virustotal或virscan，对恶意软件进行分析，可以得到它的基本属性、头部、各个节以及引用的链接库的信息
使用PEiD，查看恶意软件是否加壳，加的什么壳
使用PE Explorer，查看恶意软件的PE头、数据目录、节头表信息，以及引用的链接库的信息
使用String工具，分析恶意程序是否包含可疑字符串

动态分析
使用SysTracer，查看此恶意软件对注册表和文件的修改
使用Wireshark抓包，分析恶意软件的通信过程
使用Process Explorer或Process Monitor，监视文件系统、注册表，分析恶意软件的活动

六、实验问题

1.在编辑好任务计划后，右击运行，但是netstat2127.txt文件里一直显示请求操作需要提升。

原因：在编辑任务计划时，需要设置成以最高权限运行。所以我们把此选项勾选上即可。

2.在安装sysmon的时候出现以下报错：(图文无关，没有保留自己遇到这个问题时的截图）

原因：我们的电脑适应版本4.83，将xml的版本号改成4.83即可。

七、实验感想

这次试验任务量比之前的三次实验大了很多，而且比较侧重于自己分析，通过利用一些专业的分析工具，可以对恶意代码进行静态和动态的分析，这些工具除了wireshark在之前学习使用过，其他工具都是从没有听说过，通过这些工具的使用也让我对恶意代码有了更深的认识。
本次实验的重点是借用软件工具，通过工具来具体分析恶意代码，通过对后门文件的多方面分析检测，查看是否主机中有可疑对象和可疑行为，这对平时主机的使用和保护都有着重大的实际作用。开始做这个实验时，还不是很了解这些工具都是什么意思，该怎么用，所以弄清楚“用什么来分析”恶意程序花费了我最多时间。
我觉得最难理解的就是SysTracer这个软件抓到的快照对比分析，可能是因为我对本身系统就不够了解，所以还是不能准确地分析为什么会出现这些差异。以后还要加强这方面的学习。