Exp4 惡意代碼分析

系統運行監控

使用schtasks指令監控系統運行

• 新建一個txt文件，然後將txt文件另存為一個bat格式文件
  

• 在bat格式文件裏輸入以下信息
  

• 然後使用管理員權限打開cmd，輸入schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"
  

• 建立一個每兩分鐘記錄計算機聯網情況的任務，進入控制面板任務計劃裏查看一下。
  

• 查看一下txt文件裏面的信息
  

安裝配置sysinternals裏的sysmon工具，實現日誌的分析

• 在配置文件裏輸入老師給出的默認代碼。
  

• 使用sysmon.exe -i 20155209.txt進行安裝
  

• 在事件查看器下找到Operational，查看其中的日誌信息。
  

• 查看幾個典型的日誌信息。

• 運行netstatlog。bat的事件信息
  

• 一個網頁上網的事件信息
  

• 查找信息中的ip，發現是百度網絡
  

• 一個360的運行事件信息
  

• 查找信息中的ip，是北京市的電信網絡
  

惡意軟件分析

用virscan網站分析

• 對一個後門程序進行分析
  

• 查看文件行為分析

• 這是這個程序文件的基本信息
  

• 這個網絡行為中有設置的回連ip和端口
  

• 註冊表行為信息
  

• 還有兩個其他行為的信息
  

用systracer工具分析惡意軟件

• 使用實驗二的過程，用msf生成最簡單的後門，然後攻擊win，到回聯成功。

• 使用systracer抓取三個快照，分別是沒有被攻擊時、攻擊回聯後、攻擊後進行一個拍照。
  

• 選取沒有被攻擊的1快照和被攻擊的2快照進行比較
  

• 明顯的文件變化，就是我拷入win的後門文件
  

• 查看改變了的註冊表信息，可能是沒有權限看不到具體信息，但是可以知道哪些註冊表內發生了變化，其中就有shell，應該是有回聯後使用了shell
  
  

• 可以看到修改的文件和目錄
  

• 可以看到連接的kali的ip和端口
  

• 可以看到後門啟動時運行的dll文件
  

• 選取被攻擊的快照2和拍照了的快照3

• 大多變化都差不多，但是有一個可以明顯看到使用了多媒體程序服務，表示用了拍照。
  

使用wireshark分析惡意軟件回連情況

• 使用wireshark開始抓包，然後開始操作回聯，得到wireshark包，截屏有用信息。
  

• 可以看到攻擊kali的ip和端口號，也有開始回聯的三次握手信息。

  使用Process Monitor分析惡意軟件

• 直接找到我的後門軟件點開進行查看
  

• 可以看到我回聯kali設置的端口號，以及運行時需要的dll文件。

  使用Process Explorer分析惡意軟件

• 通過PE explorer打開後門文件，可以查看PE文件編譯的一些基本信息，導入導出表等。

• 查看該文件的基本信息，處理器為i386
  

• 查看導入表，查看所用的dll
  

使用PEiD分析惡意軟件

• peid可以查看後門文件的加殼信息，可用於分析免殺。

• 先看一個沒有加殼的。
  

• 再看一個加過殼的。
  

基礎問題回答

• 如果在工作中懷疑一臺主機上有惡意代碼，但只是猜想，所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些，用什麽方法來監控。
• 如果感覺正在被攻擊可以直接用wireshark抓個包看看。
• 監控都在幹什麽，使用schtasks指令，建一個文件，保存所有聯網信息，然後分析。
• 通過修改配置文件，使用sysmon工具，查看相應日誌
• 如果已經確定是某個程序或進程有問題，你有什麽工具可以進一步得到它的哪些信息。
• 分析方法有好多種，我感覺最簡單的就是將文件放到virscan網站上來分析，分析出的東西比較關鍵，可以看懂。
• 然後感覺最有效的是用systracer工具，可以抓好多個快照，然後對比快照信息。

20155209林虹宇Exp4 惡意代碼分析