20155233 《網絡對抗》Exp4 惡意代碼分析
阿新 • • 發佈:2018-04-13
使用 strace 指令 實驗 運行 分鐘 mage 命令提示符 sha
使用schtasks指令監控系統運行
先在C盤目錄下建立一個
netstatlog.bat
文件,用來將記錄的聯網結果格式化輸出到netstatlog.txt
文件中,netstatlog.bat
內容為:date /t >> c:\netstatlog.txt time /t >> c:\netstatlog.txt netstat -bn >> c:\netstatlog.txt
- 打開Windows下命令提示符,輸入指令
schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat"
指令創建一個每隔五分鐘記錄計算機聯網情況的任務
- 查看
netstatlog.txt
文件,對可疑進程進行分析:
- 第一次查看:進程很少,沒有太多疑點
- 分析結果:explorer.exe:桌面進程
- 第二次查看:進行了QQ登錄,出現很多TCP連接
- 分析結果:TheWorld.exe:世界之窗瀏覽器進程;不知名IP:121.195.187.36北京海澱教育網,211.159.235.58騰訊集體;所以不存在可疑進程
- 第三次查看:打開了後門軟件
- 分析結果:vmware-hostd.exe、vmware-authd.exe、vmware.exe:VMware軟件所需進程;SGtool.exe:搜狗輸入法的加速啟動程序;5233_1.exe:後門軟件,通過TCP傳輸,占用了端口5733,得到了攻擊機IP(192.168.241.134)
使用sysmon工具監控系統運行
- 建立名為
Sysmoncfg.txt
,下載sysmon
工具,將老師所給代碼寫入txt,並將txt放入sysmon.exe
同目錄下; - 輸入命令(管理員權限打開)
sysmon.exe -i Sysmoncfg.txt
安裝配置sysmon;
- 觀察事件查看器:
- 在打開事件查看器,在應用程序和服務日誌\Microsoft\Sysmon\Operational中觀察事件
4.開啟後門程序,觀察事件查看器:
- 分析結果:通過上圖可以看出,win10通過cmd命令行打開了5233_1.exe的後門程序,IP地址為192.168.241.134的主機通過tcp協議訪問了5733端口
使用virscan分析惡意軟件
1.在virscan網站查看上次後門軟件的文件行為分析:
- 分析結果:可以看出其啟動回連主機的部分IP和端口號,以及所加殼或編譯器信息,註冊表行為。
使用systracer工具分析惡意軟件
- 使用該工具建立3個快照,分別是沒有惡意軟件時、後門植入回連成功時、惡意軟件執行
dir
命令進行查看時
- 將後門回連後發現多了
5233_1.exe
文件,並發現其通過TCP連接,以及其端口號和連接機IP
- 執行
dir
命令後,和回連成功時並沒有多大區別。(PS.想截個屏,然後對比分析,結果軟件需要註冊,沒法使用,參考LXM學長博客,知道進行截屏操作後,註冊表信息會有更改)
使用wireshark分析惡意軟件回連情況
- 在後門程序執行回連操作時使用
netstat
查看TCP連接狀況,可以看到5233_1.exe
程序所建立的TCP連接:
- 同時使用
wireshark
進行抓包,可以看到後門程序首先通過TCP三次握手建立了連接,之後進行了數據傳輸。
帶有PSH
,ACK
的包傳送的便是執行相關操作指令時所傳輸的數據包。
使用ProcessMonitor分析惡意軟件
- 下載安裝ProcessMonitor工具,回連接通後門程序,觀察ProcessMonitor中進程的動態
- 分析結果:
實驗後回答問題
- 如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。
- 使用windows自帶的
schtasks
創建相應的計劃任務,指定時間去記錄主機的網絡連接情況,端口開放狀態,註冊表信息等; - 用相應的工具分析記錄的文件,通過查看日誌,行為分析,查證註冊表信息等方式證明是否為惡意代碼。
- 如果已經確定是某個程序或進程有問題,你有什麽工具可以進一步得到它的哪些信息。
- 使用
wireshark
進行抓包,查看其進行了那些網絡活動; - 使用日誌查看器查看該程序或進程的工作日誌,分析其工作信息。
實驗總結與體會
這次實驗,在於使用不同的工具分析系統中程序/進程,通過對其行為的分析來證實該程序/進程是否為惡意代碼,分析的方法有好多,像抓包、查看日誌、統計網絡使用情況等,我覺得更重要的是我們在分析時要註重對比,通過對比,找到一段時間內使用不正常的程序/j進程,再進行行為分析,確定是否是惡意代碼;其次,要養成一個很好的上網習慣,盡量去避免惡意代碼的入侵,保護我們的隱私和數據。
20155233 《網絡對抗》Exp4 惡意代碼分析