20145240《网络对抗》恶意代码分析

最新推荐文章于 2022-02-19 16:58:17 发布
最新推荐文章于 2022-02-19 16:58:17 发布
阅读量98 收藏
点赞数
文章标签: 运维 操作系统 网络
原文链接:http://www.cnblogs.com/20145240lsj/p/6648853.html
版权

恶意代码

基础知识

  • 恶意代码又称恶意软件。这些软件也可称为广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)。是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件。与病毒或蠕虫不同,这些软件很多不是小团体或者个人秘密地编写和散播,反而有很多知名企业和团体涉嫌此类软件。有时也称作流氓软件。

  • 恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。

  • 特征:

(1) 恶意的目的
(2) 本身是计算机程序
(3) 通过执行发生作用

静态分析

  • 本次实验分析的对象是lsj2.exe

特征库比对

889914-20170330221742149-2017126814.png

  • 点击“文件行为分析”,可以发现该文件会有加壳、网络连接的行为,自行删除注册表键值的行为

PEID

  • PEiD是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,但是检测自己生成的52406.exe时却什么都没找到

889914-20170401093104414-1255331212.png

  • 百度一下UPX发现,这就是一个压缩壳工具

动态分析

使用计划任务schtasks

  • 先在C盘目录下建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstat5240.txt文件中,netstatlog.bat内容为:

889914-20170401122748149-1962863307.png

  • 打开Windows下命令提示符,输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务:

889914-20170331203821492-721474407.png

  • 在任务计划程序中,新建一个触发器

889914-20170331205806336-1696598941.png

  • 新建一个操作,并设置参数:>> c:\netstat5240.txt

889914-20170401084651445-2056582419.png

  • 并设置一个名称,给予最高权限

889914-20170331210622195-2043375193.png

  • 回连后,发现记录了以下回连产生的记录

889914-20170401084702164-482171144.png

sysmon工具查看恶意代码回连前后情况

  • 在Sysmon.exe同目录下建立文件:20145240.txt,并输入老师指导书中给的XML

  • 管理员身份运行CMD,输入指令:Sysmon.exe -i test.xml,进行安装

889914-20170401090021445-2050595898.png

  • 输入指令:Sysmon.exe -c test.xml,进行配置

889914-20170401090044383-1926092937.png

  • 设置好上述,可以进入Applications and Services Logs/Microsoft/Windows/Sysmon/Operational查看日志,需等待加载,回连并查找52406.exe

889914-20170401090139008-1520164826.png

TCPView查看恶意代码回连前后情况

  • 在xp下运行查看,如下图

889914-20170401092135805-1008991702.png

wireshark抓包分析

  • 捕获tcp三次握手以及捕捉到了靶机kali向主机发送文件的数据包

889914-20170401133821336-436452999.png

  • 虚拟机IP地址 :192.168.31.128

使用PE Explorer分析恶意软件

  • 在虚拟机下通过PE explorer打开文件52406.exe,可以查看PE文件编译的一些基本信息,导入导出表等

889914-20170401101004164-37273400.png

SysTracer

  • 1.在正常情况下,我们在主机下快照保存为Snapshot #1;

  • 2.Kali生成相应的后门,将文件通过ncat传到主机下后快照保存为Snapshot #2;

  • 3.Kali开启msf监听,在主机下运行后门程序后快照保存为Snapshot #3;

  • 4.Kali对主机虚拟机进行截图后,在win7下快照保存为Snapshot #4;

  • 5.Kali对主机进行一些权限操作后,在win7下快照保存为Snapshot #5.

889914-20170401114033539-1507929917.png

快照结果对比分析:
  • 1&2: 将文件传到主机后发现注册表发生了变化,发现可以桌面新增了文件

889914-20170401123635274-979352809.png

889914-20170401123858727-1377348677.png

  • 2&3:Kali回连成功后注册表发生变化,进程信息发现我们有网络连接

889914-20170401124628789-1305617440.png

889914-20170401124634992-329912588.png

889914-20170401124640742-76081681.png

  • 3&4:获取主机截屏后,注册表信息又发生变化

889914-20170401125227883-1154893560.png

889914-20170401125234680-1710917839.png

  • 4&5:在进行一些权限操作后,进程信息显示后门程序有联网诉求

889914-20170401125630289-688547867.png

实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

  • 可以对比注册表,进程,端口,服务还有文件等信息,对其进行监控。

  • 可以用到本次实验的工具来分析,如 wireshark捕包、TCPview查看系统的TCP连接信息、sysmon用来监视和记录系统活动、是否有获取权限等行为。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

  • Process Explorer工具,观察里面是否有这个未知程序在运行,并且查看dll等信息。
  • 使用wireshark捕包,重点查看与未知程序进行网络连接IP的包,分析包内的信息是否为敏感信息。

2.实验总结与体会

因为电脑内存小虚拟机左一个右一个,实在是很麻烦,但是本次实践时在SysTracer快照时头一次体会到了电脑内存小的好处, 快照了3个的时候出现了问题,只能重装,还好比较快基本上每个照一两分钟就结束了,很感动。一次用这么多工具,刚开始有点分不清每个的功能,也出现了很多问题,实践才是硬道理,还有待努力改进。

转载于:https://www.cnblogs.com/20145240lsj/p/6648853.html

weixin_34191734
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
恶意代码分析实战.part1
08-14
本书一方面从内容上更侧重于恶意代码分析技术与实践方法,而非各类恶意代码的原理技术与检测对抗方法;另一方面更加侧重实用性,能够引导读者们在实际恶意代码样本分析过程中使用书籍中所介绍的各种分析技术、工具和技巧。 共两部分,此为part1
Exp4 恶意代码分析 20154320 李超
weixin_34415923的博客
04-13 162
恶意代码 概述 恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。 特征: 恶意的目的,获取靶机权限、用户隐私等 本身是计算机程序,可以执行,并作用于靶机 通过执行发生作用,一般来说不运行是没问题的 恶意代码分析 在大多数情况...
Sysmon工具使用
热门推荐
travelnight的博客
02-19 1万+
Sysmon工具使用 一、Sysmon简介 日常的应急响应中,经常会遇到一些情况。比如远程上去的时候已经没有了现象,又或是恶意流量每隔几个小时就发一两个包,失分头疼。 Sysmon作为强大轻便的监视和记录工具,可以记录系统的各种活动。通过收集系统上发现的事件,可以了解到恶意程序再操作系统上进行了哪些操作。可选择记录网络连接,包括每个连接的源进程、IP 地址、端口号、主机名和端口名。记录注册表和文件的操作记录。 Sysmon同时具有windows版和linux版。 二、事件记录 参考微软官方文档,Sysmo
恶意代码分析实战 Lab9
baidu_41108490的博客
05-20 1908
lab09-011这个程序就是第三章lab03-04那个会删除自身的程序,之前我们没有分析完,现在继续想要解决的是正确安装程序,因为他会自我删除,只有避免了他的自我删除我们才能继续分析他的功能IDApro打开程序,程序要求参数要大于1,这就说明我们需要输入lab09-01.exe "一些参数"这样的方式才能启动程序,为什么呢,因为如果不跳转,那么下面不管是在jz处是否跳转结果都会跳转到下面这个地方...
恶意代码分析实战-行为监控
weixin_30520015的博客
01-11 297
进程监视器 ProcessMonitor是Windows系统下的高级监视工具,提供一种方式来监控注册表、文件系统、网络、进程和线程行为。 通过Filter-Filter打开过滤菜单,过滤文件行为 查找PID、针对某些特定的函数过滤,比如CreateFile、WriteFile、RegSetValue、或其他可以或者具有破坏性的调用。 进程浏览器 Process Explorer(进程浏览...
对等网络主动型恶意代码与免疫疫苗的对抗传播模型
03-28
通过深入分析P2P网络中的主动型恶意代码的特征,提出一种适合于P2P网络环境的主动型恶意代码与免疫疫苗的对抗传播模型.模型根据Peer节点受主动型恶意代码及免疫疫苗的双重影响情况将节点细分为易感染、已感染、已...
35.恶意代码攻击溯源及恶意样本分析1
08-03
1. 恶意攻击流程及溯源方法:在业界,恶意代码分析通常从检测到的异常行为开始,通过分析攻击链路,如域名/IP、入侵日志、全流量分析等,定位攻击源。 2. 域名/IP:通过对域名和IP的监控,可以追踪到恶意活动的网络...
对抗_对抗神经网络文献及具体实现_
10-02
对抗神经网络(Adversarial Neural Networks)是一种在深度学习领域广泛应用的技术,主要目的是增强模型的鲁棒性,防止被恶意攻击或欺骗。该技术源于计算机视觉领域的研究,但已拓展到多个子领域,如自然语言处理、...
基于机器学习的内核恶意代码检测研究
最新发布
04-24
总的来说,这篇文章深入探讨了如何利用机器学习技术增强内核安全,对抗恶意代码的挑战,对于网络安全领域的研究和实践具有重要价值。它提醒我们,面对不断进化的威胁,我们需要不断创新和适应,以更智能的方式来保护...
基于API序列和卷积神经网络恶意代码检测.pdf
09-25
预训练的词向量被输入到多核融合的CNN网络中,该网络用于训练恶意代码检测模型。经过训练,模型在测试集上的准确率达到了98.1%,显示出极高的检测效能。 总的来说,本文提出的词嵌入和多核融合CNN方法有效地解决了...
恶意代码分析实战 Lab3
baidu_41108490的博客
05-15 4009
lab3-11依照惯例,静态分析查看是否加密然后看输入表和字符串可以看出文件被PEncrypt加密dependency查看输入表可以看到很少的函数,kernel只有一个ExitProcessstrings查看字符串2动态分析:processexp查看handles和dll了解到关键信息,互斥量WinVMX32,和网络相关的dll联系上面字符串可以知道程序访问了www.practicalmalwar...
20145320恶意代码分析
weixin_30753873的博客
03-29 117
20145320《网络对抗恶意代码分析 本实践有两个目标,(1)是监控你自己系统的运行状态,看有没有可疑的程序在运行。(2)是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 1.系统运行监控 (1)使用计划任务 每隔五分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下...
学习笔记-第三章 恶意代码分析实战
Yes_butter的博客
03-03 1071
第三章 1.使用沙箱分析恶意代码,部分公司提供免费的沙箱。缺点是只能简单的运行可执行程序,不能带有命令行的选项。 如果恶意代码需要一些指令才可以运行,在不提供条件的情况下,任何代码都不会被执行。 2.运行恶意代码。 启动dll文件,可以使用 cmd命令 rundll32.exe DLLname,Export argc export argc是dll导出表的函数名或者序号。 3.Proce...
实验四: 恶意代码分析
weixin_33712881的博客
10-24 264
学号:201421440036 中国人民公安大学 Chinese people’public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 喀依拉 年级 2014 ...
恶意代码分析实战 Lab6
baidu_41108490的博客
05-16 1615
lab06-011先静态分析一波:没加壳,看看导入函数:有检查是否有可用网络连接的函数,可能有联网行为再看看字符串:一些程序提示信息字符串再回到main函数看看程序结构,查看main的程序流程图(view--Graphs--Flow chart(快捷键F12)),可以发现结构很简单基本就两个函数调用,然后对第一个函数(InternetGetConnectedState)返回值进行判断,然后看关键p...
恶意代码分析实战Lab0301
ACdream
01-28 954
先查壳 看到PEncrypt 3.1 Final -> junkcode的壳,没见过。上次下载的万能脱壳机脱不下来这个 于是网上先找了一波脱壳教程 https://bbs.pediy.com/thread-90089.htm 找到了这个脱壳的案例和教程,链接底下也有demo下载可供调试(学会了这个用这种方式还是脱不下来这个题的) 最后想到了内存DUMP的办法,即使我不
Exp4 恶意代码分析
weixin_33936401的博客
04-16 101
1 实验内容 2.1系统运行监控 netstat工具计划任务监控 使用netstat监控tcp、ip网络连接情况,结合windows的计划任务,每5分钟 执行netstat -bn命令,将结果重定向到文本文件中。注意用管理员身份打开命令行。 用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat指令创建一个任务,...
恶意代码分析实战 Lab 3-1 习题笔记
isinstance的博客
08-29 5337
Lab 3-1问题1.找出这个恶意代码的导入函数于字符串列表。解答: (动态分析建议用winxp pro 32bit,下面你就知道为什么这么建议了)我们用Dependency Walker会发现这个程序只有很少的导入函数,第一是怀疑是不是加壳了然后我们PEiD来看,的确是加壳了然后就开始尝试脱壳了万能脱壳这次不是万能的了目前我们知道的唯一个导入函数就是ExitProcess然后查看一下字符串 前面
恶意代码分析 关于第三章 Lab03-1
哒君的博客
07-23 759
恶意代码分析第三章的实验 非常有用 开启了新世界的大门
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值