20145226夏艺华 网络对抗技术EXP4 恶意代码分析

最新推荐文章于 2024-09-11 11:53:23 发布
最新推荐文章于 2024-09-11 11:53:23 发布
阅读量124 收藏
点赞数
文章标签: 运维 操作系统 网络
原文链接:http://www.cnblogs.com/bestixyh/p/6671126.html
版权

20145226夏艺华 网络对抗技术EXP4 恶意代码分析(未完成版)

回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

· schtasks——设置一个计划任务,指定时间记录主机的联网记录或者是端口开放、注册表信息等等;
· sysmon——配置好想记录事件的文件,可以在事件查看器里找到相关日志文件;
· Process Explorer——监视进程执行情况,查看是否有程序调用了异常的dll库之类的。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

· Wireshark进行抓包分析,查看该程序联网时进行了哪些操作;
· 使用systracer工具分析某个程序执行前后,计算机注册表、文件、端口的一些变化情况。

实践过程记录

恶意代码静态分析

一、使用virscan分析恶意软件

在病毒分析网站上分析之前我们自己生成的后门程序,发现有5/39的杀软能够查杀到这个恶意代码
1002160-20170406011409550-1095795219.png
点击文件行为分析可以看到有:
1002160-20170406011523285-933268193.png
1002160-20170406011529003-972267159.png
1002160-20170406011552285-1629798765.png
1002160-20170406011605035-948565654.png
1002160-20170406011619925-359502759.png
1002160-20170406011624300-84687308.png
各种各样的可疑行为。。

二、使用PE Explore分析恶意软件

使用PE Explore打开可执行文件,可以看出文件的编译时间是2017年3月22日01:11:30,链接器版本号为10.0
1002160-20170406011736644-407482321.png

用import viewer来看一下这个文件的导入表中包含的dll文件:

ADVAPI32.dll文件是一个高级API应用程序接口服务库的一部分,可以实现对注册表的操控(exo me??)
WSOCK32.dll和WS2_32.dll用于创建套接字,也就是说会发生网络连接(连网干啥。。。)

PE Explore也可以反汇编
1002160-20170406012824566-2029451353.png

三、PEiD
我们使用PEiD来看一下这个程序有没有加壳或是用什么来编译的:
1002160-20170406013037394-409006867.png
如图所示,没有加壳的软件会在那里都会直接显示编译器名称,vc8.0,同样的,链接器版本还是10.0,没毛病。
下图为拓展信息:
1002160-20170406013311113-327128293.png

与此同时,PEiD也能反汇编,如图:
1002160-20170406013337910-992394720.png
也有节查看器:
1002160-20170406013406550-1517480026.png
还可以看到更多细节,虽然暂时并不懂:
1002160-20170406013453410-885718691.png

恶意代码动态分析

一、Tcpview
在附件中下载的并不兼容,自己下载好了一个~
Tcpview用于查看进行tcp连接的进程信息:
1002160-20170406013715863-2044307204.png
1002160-20170406013723566-1726313740.png
1002160-20170406013747660-1127960138.png
不看不知道,一看吓一跳,我感觉我的虚拟机,啥也没干啊。。。

二、sysmon
sysmon微软Sysinternals套件中的一个工具,首先在C:\windows\system32\文件夹下找到cmd.exe,右键以管理员身份运行,在C:\Sysinternals目录下安装,如图所示:
1002160-20170406100752316-2092496506.png
1002160-20170406014013285-1993174626.png
1002160-20170406092931316-1199840026.png
1002160-20170406092945597-621908624.png
Sysmon started!
启动之后,便可以到控制面板-系统和安全-事件查看器里查看相应的日志了~
1002160-20170406093051738-678166752.png
看了一些具体的日志内容,很详细~
· 事件1:具体时间呀进程ID呀啥的都有,这个是IE浏览器的一个记录
1002160-20170406095857378-1299545513.png
· 事件2:这是chrome浏览器的一个记录
1002160-20170406100214582-1623831703.png
也可以看到详细信息,但是这个时间段宝宝并没有开电脑!!word哥chrome干了啥!
1002160-20170406100319472-721285860.png
· 事件3:我只看到了DestinationHostname是XiaYihua...只有我的主机名是这个,虚拟机都不是的!
1002160-20170406100553332-2000467453.png

三、schtasks
1.建立netstatlog.bat文件,用于记录联网内容,文件内容如下:
1002160-20170406092548082-479176175.png

2.在命令行中输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"创建任务,每隔两分钟记录联网内容,创建成功后可以在任务管理计划中查看:
1002160-20170406014349160-447119511.png

3.打开netstatlog.txt文件查看记录内容:
1002160-20170406091848472-1855853397.png
OK啦!

四、SysTracer

· 建立以下3个快照:
1.一开始在目标主机上进行快照保存为Snapshot #1;
2.在虚拟机开启监听的情况下,在目标主机运行后门程序后快照保存为Snapshot #2;
1002160-20170406092414660-1594566579.png
3.在虚拟机对目标主机进行截图后在目标主机中快照保存为Snapshot #3;
1002160-20170406092401503-944234623.png

· 然后使用compare对快照结果进行比对分析:
1002160-20170406100836128-601248334.png

(1)快照1和快照2:成功回连之后发现增加了一个注册表键注册表信息有变化
1002160-20170406100957300-1921720421.png
1002160-20170406101016316-1469585462.png
多出来了一个dll文件

(2)快照2和快照3:获取目标主机摄像头后快照
1002160-20170406101125613-1595125096.png
1002160-20170406101139457-1917539509.png
发现有网络诉求

五、wireshark
通过kali(IP地址192.168.88.132)对win7(IP地址192.168.88.137)虚拟机进行远程控制,使用wireshark进行抓包,抓到了虚拟机与主机的三次握手包,图中[FIN,ACK]的包就是传输的数据包。具体看一下数据包的内容,端口是226,使用IPv4协议,如下图所示:
1002160-20170406092104394-1695784637.png

除了226端口,还有4444等端口的很多信息:
1002160-20170406092248691-1849468796.png

wireshark还捕捉到好多虚拟机和其他IP地址的连接:
1002160-20170406092306816-542786532.png
图只是一部分,我的天哪,我啥也没干啊。。。网络连接好频繁。

实验总结与体会

这次的实验真的是太艰难了。。。。我本来在xp虚拟机上做的,截图用微信发了之后就删掉了然后聊天记录一不小心手滑被清了,手动再见。只能在win7虚拟机上重新做一遍了。
之前并没有想到要用到的之前的实验生成的exe,然后就又重做了一遍免杀实验。。。 [smile]实验一个顶三个啊哭哭。
随着实验的深入,感觉自己平时用电脑的时候越来越慌。。。再也不能愉快地输密码了,感觉随时都有隐藏的进程在暴露我的个人信息。

转载于:https://www.cnblogs.com/bestixyh/p/6671126.html

weixin_30496751
关注
艺华专用机最新升级固件20180401
04-03
艺华专用机最新升级固件 20180401 ,考入u盘,在系统里选择USB升级,找到升级固件FTA-9800A_973+1.0.16_180322,确定,然后不能动u盘,不能断电,系统会自动完成,大概3分钟,经过好几次的重启,最后进入节目是黑屏...
卫星机艺华幸运星8000B升级固件
01-28
升级固件,升级后自动升级,以后不用再手动升级,官方固件,应永久有效
20145226夏艺华 网络对抗技术 EXP7 网络欺诈技术防范
weixin_30532973的博客
05-02 160
20145226夏艺华 网络对抗技术 EXP7 网络欺诈技术防范 实践内容 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。 · 简单应用SET工具建立冒名网站 · ettercap DNS spoof · 结合应用两种技术,用DNS spoof引导特定访问到冒名网站。 实验后回答问题 通常在什么场景下容易受到DNS spoof攻击? 在同一个局域网内很容易,比如乱连公...
20145226夏艺华 网络对抗技术EXP8 WEB基础实践
weixin_30878361的博客
05-10 145
20145226夏艺华 网络对抗技术EXP8 WEB基础实践 实验问题回答 1.什么是表单? 表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服...
20145226夏艺华 网络对抗技术 EXP9 web安全基础实践
weixin_30344131的博客
05-20 175
20145226夏艺华 网络对抗技术 EXP9 web安全基础实践 !!!免考项目:wannacry病毒分析+防护 一.实验后回答问题 SQL注入攻击原理,如何防御 攻击原理 “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。 注入方法一般有...
20145226夏艺华网络对抗》免杀原理与实践
weixin_30724853的博客
03-27 103
20145226夏艺华网络对抗》免杀原理与实践 基础问题回答 杀软是如何检测出恶意代码的? (1)基于特征码的检测:杀毒软件有一个病毒的特征码(由一个不大于64字节的特征串组成)库,通过识别恶意代码的特征码检测恶意代码。 (2)启发式恶意软件检测:“When I see a bird that walks like a duck and swims like a duck and quacks ...
20145226夏艺华 Exp6 信息搜集与漏洞扫描
weixin_30865427的博客
04-23 148
20145226夏艺华 Exp6 信息搜集与漏洞扫描 基础问题回答 哪些组织负责DNS,IP的管理? · 全球根服务器均由美国政府授权的ICANN统一管理,负责全球的域名根服务器、DNS和IP地址管理。 · 全球有13台DNS根服务器,分布如下:   美国VeriSign公司 2台   网络管理组织IANA(Internet Assigned Number Authority) 1台   欧洲网络...
20145226夏艺华 《Java程序设计》 课堂实践
weixin_30367543的博客
05-31 112
手速慢了一秒,泪流成河。。。打水印的时间用太多了 /** * Created by XiaYihua on 2017/5/31. */ import java.io.*; public class FilereadDemo { public static void main(String [] args) throws IOException{ FileInpu...
20145226夏艺华 EXP5 MSF基础应用
weixin_30794491的博客
04-13 120
实践目标 · 掌握metasploit的基本应用方式。 · 具体需要完成 (1)ms08_067; (2)ms11_050; (3)Adobe (4)成功应用任何一个辅助模块。 报告 本次实验一共用到了三个虚拟机。一定要用课题负责人拷贝的虚拟机 啊啊 啊啊啊啊 !!!用自己原来的版本真的做不出来。。。虽然都是Windows XP SP3加上IE7。。。 任务一:MS08_067漏洞渗透攻击实践 实...
20145226夏艺华网络对抗》第一次实验拓展:shellcode注入+return-to-libc
weixin_30596165的博客
03-31 172
20145226夏艺华网络对抗》第一次实验拓展:shellcode注入+return-to-libc shellcode注入实践 编写shellcode 编写shellcode已经在之前的实验中搞定啦,这次直接用成品咯~ 准备工作,设置环境 基础——Bof攻击防御技术 · 从防止注入的角度来看:在编译时,编译器在每次函数调用前后都加入一定的代码,用来设置和检测堆栈上设置的特定数字,以确认是否有b...
20145226夏艺华 后门原理与实践
weixin_30809173的博客
03-18 235
20145226夏艺华 后门原理与实践 实验主要内容 使用ncat、socat实现两台电脑间的后门连接;meterpreter的应用;MSF POST模块的使用 基础问题回答 例举你能想到的一个后门进入到你系统中的可能方式? · 攻击者利用欺骗的手段,通过发送电子邮件或者文件,并诱使主机的操作员打开或运行藏有木马程序的邮件或文件,这些木马程序就会在主机上创建一个后门。 · 攻击者攻陷一台主机,获...
卢本捷期末重点口述记录(张艺华记录)1
08-08
在“卢本捷期末重点口述记录(张艺华记录)1”中,主要涉及了并行计算的基础概念、CUDA、MPI、算法复杂度等相关知识点。 首先,进行并行计算需要满足多核处理器、多进程环境以及进程间通信的能力。主流的并行编程环境...
论文研究-Mesh无线传感器网络地址借用策略 .pdf
08-16
Mesh无线传感器网络地址借用策略,朱艺华,孙聪,IEEE 802.15.5标准为基于IEEE 802.15.4标准的无线传感器网络提供了mesh功能。通过为节点分配连续逻辑地址块,802.15.5不需要路由发现和路由表�
南海艺华不锈钢铝业有限公司质量体系程序文件.doc
09-30
【南海艺华不锈钢铝业有限公司质量体系程序文件】是该公司为确保其质量管理体系的有效运行而制定的一系列控制程序。这份文档主要关注组织机构、职责和权限的设定、变更及其控制,旨在确保所有与质量相关的活动都在...
如何解析域名到网站?
最新发布
聚名网
09-11 392
用户通过输入易于记忆的域名来访问网站,而背后则是复杂的域名解析机制将域名转换为服务器的IP地址,使得浏览器能够找到并加载目标网站。顶级域名服务器:顶级域名服务器会返回负责该域名的权威DNS服务器的地址。返回结果:一旦本地DNS服务器获得了IP地址,它会将该信息缓存一段时间(TTL,生存时间),然后将结果返回给用户的浏览器。用户输入域名:当用户在浏览器中输入一个域名并按下回车键时,浏览器会检查本地缓存,查看是否已经存储了该域名的IP地址。权威DNS服务器:存储特定域名的DNS记录,提供最终的IP地址。
Linux常用命令速查手册
敲代码别忘了喝上一杯凉白开。
09-08 293
本文汇总了一系列实用的Linux命令,适用于日常开发和系统管理。首先,展示了如何新增用户及其配置、使用 `tar` 解压文件,以及安装和使用 `zip` 工具进行文件压缩和解压。此外,还包括在macOS中查看端口占用的命令和通过 `TOP` 命令切换内存显示单位的技巧。接着,介绍了如何使用 `Base64` 进行字符串编码,以及快速创建多个文件夹并从Docker容器中复制文件的方法。这些命令对于提高工作效率和管理Linux系统至关重要,尤其适合开发者和系统管理员快速查阅和使用。
mycat双主高可用架构部署-mycat安装
龙哥·三年风水从2011年开始做IT工作,从ps画图到前端开发->后端开发->框架开发->业务架构设计及开发->业务需求整理、开发->技术经理->技术总监
09-08 955
mycat双主高可用架构部署-mycat安装
nginx 使用篇 配置
2302_77426533的博客
09-09 1302
nginx的配置 在conf目录下的nginx.conf文件nginx.conf文件 主要分为三部分①全局配置:配置一些全局属性: 这个指令设置了每个worker进程能够同时开启的最大连接数③http配置 :配置http的相关配置二、nginx使用基本命令1.启动:双击nginx.exe或者打开cmd命令窗口,切换到nginx解压目录下,输入命令nginx.exe,回车即可2.关闭(1)输入nginx命令(快速停止nginx) 或(完整有序的停止nginx)(2)使用taskkill。
Ad Hoc网络多目标路由协议性能仿真比较
"移动Ad hoc网络多目标路由协议的仿真分析" 本文主要探讨了移动Ad hoc网络中多目标路由协议的必要性和优势,并对两种典型的多目标路由协议——MAODV(Multipoint Adaptive On-Demand Distance Vector)和ODMRP(On-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值