20155209林虹宇Exp4 惡意代碼分析
Exp4 惡意代碼分析
系統運行監控
使用schtasks指令監控系統運行
新建一個txt文件,然後將txt文件另存為一個bat格式文件
在bat格式文件裏輸入以下信息
然後使用管理員權限打開cmd,輸入schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"
建立一個每兩分鐘記錄計算機聯網情況的任務,進入控制面板任務計劃裏查看一下。
查看一下txt文件裏面的信息
安裝配置sysinternals裏的sysmon工具,實現日誌的分析
在配置文件裏輸入老師給出的默認代碼。
使用sysmon.exe -i 20155209.txt進行安裝
在事件查看器下找到Operational,查看其中的日誌信息。
- 查看幾個典型的日誌信息。
運行netstatlog。bat的事件信息
一個網頁上網的事件信息
查找信息中的ip,發現是百度網絡
一個360的運行事件信息
查找信息中的ip,是北京市的電信網絡
惡意軟件分析
用virscan網站分析
對一個後門程序進行分析
- 查看文件行為分析
這是這個程序文件的基本信息
這個網絡行為中有設置的回連ip和端口
註冊表行為信息
還有兩個其他行為的信息
用systracer工具分析惡意軟件
- 使用實驗二的過程,用msf生成最簡單的後門,然後攻擊win,到回聯成功。
使用systracer抓取三個快照,分別是沒有被攻擊時、攻擊回聯後、攻擊後進行一個拍照。
選取沒有被攻擊的1快照和被攻擊的2快照進行比較
明顯的文件變化,就是我拷入win的後門文件
查看改變了的註冊表信息,可能是沒有權限看不到具體信息,但是可以知道哪些註冊表內發生了變化,其中就有shell,應該是有回聯後使用了shell
可以看到修改的文件和目錄
可以看到連接的kali的ip和端口
可以看到後門啟動時運行的dll文件
- 選取被攻擊的快照2和拍照了的快照3
大多變化都差不多,但是有一個可以明顯看到使用了多媒體程序服務,表示用了拍照。
使用wireshark分析惡意軟件回連情況
使用wireshark開始抓包,然後開始操作回聯,得到wireshark包,截屏有用信息。
可以看到攻擊kali的ip和端口號,也有開始回聯的三次握手信息。
使用Process Monitor分析惡意軟件
直接找到我的後門軟件點開進行查看
可以看到我回聯kali設置的端口號,以及運行時需要的dll文件。
使用Process Explorer分析惡意軟件
- 通過PE explorer打開後門文件,可以查看PE文件編譯的一些基本信息,導入導出表等。
查看該文件的基本信息,處理器為i386
查看導入表,查看所用的dll
使用PEiD分析惡意軟件
- peid可以查看後門文件的加殼信息,可用於分析免殺。
先看一個沒有加殼的。
再看一個加過殼的。
基礎問題回答
- 如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。
- 如果感覺正在被攻擊可以直接用wireshark抓個包看看。
- 監控都在幹什麽,使用schtasks指令,建一個文件,保存所有聯網信息,然後分析。
- 通過修改配置文件,使用sysmon工具,查看相應日誌
- 如果已經確定是某個程序或進程有問題,你有什麽工具可以進一步得到它的哪些信息。
- 分析方法有好多種,我感覺最簡單的就是將文件放到virscan網站上來分析,分析出的東西比較關鍵,可以看懂。
- 然後感覺最有效的是用systracer工具,可以抓好多個快照,然後對比快照信息。
20155209林虹宇Exp4 惡意代碼分析