20144303石宇森 《网络对抗技术》 恶意代码分析

20144303石宇森 《网络对抗技术》 恶意代码分析

实验问题回答

一、实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

首先,可以使用的监控方法有wireshark捕获数据包、sysmon监视系统活动记录、使用计划任务每隔一定时间获取一下每个进程联网的状态。

可以监控注册表的变化,文件的变化,哪些进程在连接网络,进程的行为,哪些端口被打开或是关闭了等等

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

1、可以在http://www.virscan.org/这一类的分析网站上对程序进行分析

2、可以使用PEiD、PE Explorer分析恶意软件

3、除了静态分析,还可以使用systracer或者是wireshark对恶意程序进行动态分析

二、实验总结与体会

这次实验完成后,掌握了一些基本的分析可疑程序或是代码的方法,可以通过静态分析分析其程序内容、是否加壳等,也可以通过动态分析分析它连接网络的情况、对注册表的修改情况等等。同时,也了解了如何对自己的系统进行监控并对其进行分析。

在完成之前的实验之后,感觉病毒软件在我们电脑里面有点像无敌的存在,具有很强大的功能还很难发现它们。明白了如何分析后,感觉还是“邪不胜正”啊!发现了可疑的程序或者代码后,通过一系列的分析组合拳,一般的恶意程序怕是招架不住。

相信在这样不断的实践攻击与防护中,能不断加深自己对网络攻防知识的理解,对课程产生浓厚的兴趣,让学习变得轻松快乐些。

三、实践过程记录

恶意代码静态分析

(1)通过www.virscan.org检测

对生成的恶意程序在网站上进行了分析检测,显示有21个杀软查出了病毒

884664-20170402000821070-1958214739.jpg

在行为分析中,对其进行进一步分析。发现它使用了UPolyX v0.5加壳,会对注册表进行删除修改,会创建事件对象等等。

884664-20170402000829586-64315416.jpg

884664-20170402000833992-1805771729.jpg

(2)用PE explorer检测

打开我们的恶意程序,并查看import

884664-20170402000842649-110555235.jpg

884664-20170402000850492-591714248.png

在导入表中,msvcrt.dll是标准的微软C运行库文件,它不是一个系统dll文件。kernel32.dll属于内核级文件,制着系统的内存管理、数据的输入输出操作和中断处理。advapi32.dll包含了注册表操作以及事件日志。wsock32.dll和ws2_32.dll用来支持Internet连接。

看来这个程序不仅连接到了网络,还可能对注册表进行了操作或是对系统内存进行了操作。

(3)PEiD 检测

884664-20170402000854649-1126526748.png

nothing found??!!!!!据说是版本的问题

恶意代码动态分析

(1)使用Systracer进行分析

首先用Systracer软件拍出4个快照,1345分别对应没有下载恶意程序时、安装了恶意程序、使用后门回连、在msfconsole下攻击目标机(获取其屏幕截图)

884664-20170402000900695-1366892830.png

接下来,通过对比这几个快照下注册表、连接情况分析恶意代码。首先,对比快照1、3

这个图中显示出,安装了后门程序之后,com+ system application服务开启。用来管理基于COM+ 组件的配置和跟踪。如果服务停止,大多数基于COM+ 组件将不能正常工作。如果本服务被禁用,任何明确依赖它的服务都将不能启动。

884664-20170402000907555-957010850.jpg

这个图显示出安装了后门程序之后,新增了一些TCP连接,以及这些连接的IP地址、端口信息等等(虚拟机的IP为192.168.232.128)

884664-20170402000913149-1339735585.jpg

对于1、4和1、5的对比如下图所示

884664-20170402000922867-927434577.jpg

884664-20170402000929289-1150983599.jpg

884664-20170402000941899-1785640250.jpg

系统运行监控

(1)建立一个计划任务,分析系统记录

先新建一个bat文件,在编辑中输入如下信息:

date /t >> c:\20144303\netstatlog.txt
time /t >> c:\20144303\netstatlog.txt
netstat -bn >> c:\20144303\netstatlog.txt

然后在任务计划程序中新建一个任务,并添加触发器和操作,让系统每5分钟自动捕获一下监控的信息。

884664-20170402000950805-1546596729.jpg

884664-20170402000956461-93719211.jpg

分析捕获的信息发现,360se和360tray经常占用系统连接网络。360se是360浏览器的主程序,360tray是360安全卫士的主程序。(好像被360软件控制住了)另外还有一个OfficeClickToRun.exe,在网上看了看,它好像是个用来更新系统软件的东西,100%的审查文件被标记为的安全。

(刚开始建立好计划任务后一直无法正常触发,后来重新启动电脑后就好了.....也不知道为什么,很奇怪)

884664-20170402001002070-331417341.jpg

(2)使用sysmon工具

在使用sysmon之前先对其进行配置,使用老师给的配置文件。在cmd中输入命令安装sysmon。

884664-20170402001011242-863091337.jpg

之后就可以在任务管理器中看到sysmon.exe已经在运行了

884664-20170402001018664-123703790.jpg

打开事件查看器,在目录下找到sysmon就可以查看监控信息了

884664-20170402001028445-420769902.jpg

我挑出其中一个进行分析,这个是搜狗输入法在进行Network connection detected操作,应该是在对网络连接进行检测

884664-20170402001033617-520653576.jpg

884664-20170402001044305-2013805654.jpg

这个显示是在创建一个进程,dllhost.exe是微软Windows操作系统的一部分。dllhost.exe用于管理DLL应用。这个程序对你系统的正常运行是非常重要的。

884664-20170402001052508-2129632084.jpg

884664-20170402001059195-2113316032.jpg

转载于:https://www.cnblogs.com/20144303sys/p/6657981.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值