2. 程式人生 > >20164317《網絡對抗技術》Exp4 惡意代碼分析

20164317《網絡對抗技術》Exp4 惡意代碼分析

阿新 發佈:2019-04-07
調試工具 internal 文件 系統監控 smon jad com 網絡 target

1.實踐目標

1.是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。

2.是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,systracer套件。

3.假定將來工作中你覺得自己的主機有問題,就可以用實驗中的這個思路,先整個系統監控看能不能找到可疑對象,再對可疑對象進行進一步分析,好確認其具體的行為與性質。

2.實踐過程記錄

一、系統運行監控

(1)使用如計劃任務,每隔一分鐘記錄自己的電腦有哪些程序在聯網,連接的外部IP是哪裏。運行一段時間並分析該文件,綜述一下分析結果。目標就是找出所有連網的程序,連了哪裏,大約幹了什麽。如果想進一步分析的,可以有針對性的抓包。

第一步:使用schtasks的命令創建計劃任務netstat20164317

鍵入:schtasks /create /TN 20164317netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt

TN是TaskName的縮寫,我們創建的計劃任務名是20164317netstat;

sc表示計時方式,我們以分鐘計時填MINUTE;

TR=Task Run,要運行的指令是 netstat

-bn,b表示顯示可執行文件名,n表示以數字來顯示IP和端口;

c:\netstatlog.txt類似於Linux中的重定向,輸出將存放在C盤下的netstatlog.txt文件中

創建成功結果如下:

技術分享圖片

此命令完成後,每1分鐘就會監測哪些程序在使用網絡,並把結果記錄在netstatlog.txt文檔裏,為了顯示日期和時間,我們通過bat批處理文件來實現

第二步:在C盤要目錄下建一個文件c:\netstatlog.bat

直接在C盤下是沒法創建文件的,所以為了解決這個問題我試了幾種方法:

在命令行下輸入指令type nul>netstatlog.bat,結果提示拒絕訪問。

在前面加個sudo結果還是提示拒絕訪問。

最終解決的方法是在桌面上創建一個netstatlog.txt文件,編輯文件內容如下:

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

保存後修改文件名為“netstatlog.bat”;

粘貼到C盤中,這是需要用管理員權限;

技術分享圖片

可以右鍵點擊“編輯”用記事本查看bat文件內容。

第三步:編輯任務操作:

1.打開任務計劃程序,可以看到我們新創建的這個任務:

技術分享圖片

雙擊這個任務,點擊操作並編輯,將“程序或腳本”改為我們創建的netstatlog.bat批處理文件,確定即可

技術分享圖片

執行此腳本一定時間,就可以在netstatlog.txt文件中查看到本機在該時間段內的聯網記錄

技術分享圖片

當記錄的數據足夠豐富時,停止任務,將所得數據在excel中進行分析

技術分享圖片

技術分享圖片

可以看到用得最多的是360瀏覽器,其它也沒什麽異常的

(2)安裝配置sysinternals裏的sysmon工具,設置合理的配置文件,監控自己主機的重點事可疑行為。

  • sysmon是微軟Sysinternals套件中的一個工具,使用sysmon工具前首先要配置文件。根據老師的要求,最少要記錄Event 1,2,3三個事件。即進程創建、進程創建時間、網絡連接。
  • 創建配置文件Sysmon20164317.xml
    文件內容如下:

<Sysmon schemaversion="9.01">

<!-- Capture all hashes -->

<HashAlgorithms>*</HashAlgorithms>

<EventFiltering>

<!-- Log all drivers except if the signature -->

<!-- contains Microsoft or Windows -->

<ProcessCreate onmatch="exclude">

<Image condition="end with">chrome.exe</Image>

<Image condition="end with">firefox.exe</Image>

</ProcessCreate>

<ProcessCreate onmatch="include">

<ParentImage condition="end with">cmd.exe</ParentImage>

</ProcessCreate>

<FileCreateTime onmatch="exclude" >

<Image condition="end with">chrome.exe</Image>

<Image condition="end with">firefox.exe</Image>

</FileCreateTime>

<NetworkConnect onmatch="exclude">

<Image condition="end with">chrome.exe</Image>

<Image condition="end with">firefox.exe</Image>

<SourcePort condition="is">137</SourcePort>

<SourceIp condition="is">127.0.0.1</SourceIp>

</NetworkConnect>

<NetworkConnect onmatch="include">

<DestinationPort condition="is">80</DestinationPort>

<DestinationPort condition="is">443</DestinationPort>

</NetworkConnect>

<CreateRemoteThread onmatch="include">

<TargetImage condition="end with">explorer.exe</TargetImage>

<TargetImage condition="end with">svchost.exe</TargetImage>

<TargetImage condition="end with">firefox.exe</TargetImage>

<TargetImage condition="end with">winlogon.exe</TargetImage>

<SourceImage condition="end with">powershell.exe</SourceImage>

</CreateRemoteThread>

</EventFiltering>

</Sysmon>

使用Sysmon.exe -i C:\Sysmon20164317.xml安裝sysmon

技術分享圖片

win10下,左下角開始菜單右擊->事件查看器->應用程序和服務日誌->Microsoft->Windows->Sysmon->Operational。在這裏,我們可以看到按照配置文件的要求記錄的新事件,以及事件ID、任務類別、詳細信息等等

技術分享圖片

打開這個事件,可以看到其屬於“NetworkContect”。查看詳細信息,可以看到這個後門映像文件的具體位置、源IP和端口、目的IP和端口等

技術分享圖片

2.2惡意軟件分析

1.靜態分析
文件掃描(VirusTotal、VirusScan工具等)
文件格式識別(peid、file、FileAnalyzer工具等)
字符串提取(Strings工具等)
反匯編(GDB、IDAPro、VC工具等)
反編譯(REC、DCC、JAD工具等)
邏輯結構分析(Ollydbg、IDAPro工具等)
加殼脫殼(UPX、VMUnPacker工具等)

2.動態分析
快照比對(SysTracer、Filesnap、Regsnap工具等)
抓包分析(WireShark工具等)
行為監控(Filemon、Regmon、ProcessExplorer工具等)
沙盒(NormanSandbox、CWSandbox工具等)
動態跟蹤調試(Ollydbg、IDAPro工具等)

(1)使用VirusTotal分析惡意軟件

把生成的惡意代碼放在VirusTotal進行分析,結果如圖:

技術分享圖片

查看這個惡意代碼的基本屬性

技術分享圖片

我們可以看到文件的類型、大小、SHA-1、MD5摘要值等結果

算法庫支持情況

技術分享圖片

(2)使用systracer分析

分別在裝了後門不連接,進行回連,進行截屏操作,三個狀態抓快照。

比較不回連和回連:

技術分享圖片

技術分享圖片

171717是我的後門,可以看到回連是多了很多東西,雖然不太能理解。

進行操作後:

技術分享圖片

可以看到變化不大。

3.基礎問題回答

問題1:如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所以想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控?

答: 1.利用系統命令查看系統各項狀態,並將查看結果保存為日誌。使用計劃任務為命令設置執行間隔,通過監控系統一段時間的運行狀態來監控系統。

2.使用具有監控系統功能的可靠軟件來實現系統監控。

問題2:

如果已經確定是某個程序或進程有問題,你有什麽工具可以進一步得到它的哪些信息?

答:1.使用systracer工具對確定的惡意軟件進行行為分析。

2.使用wireshark網絡嗅探工具對該軟件的網絡通信情況進行分析。

4.實驗感想

本次實驗的內容十分豐富,我們嘗試學習和使用了數款用於檢測惡意代碼的指令或是軟件,這些工具都能很好地輔助我們對主機進行監控,以發現惡意行為並進行及時處理。
通過學習了解到,惡意代碼的分析方法主要分為靜態分析方法和動態分析方法。這兩種方法在本次實驗中都有所涉及。靜態分析方法是指在不執行二進制程序的條件下進行分析,如反匯編分析等,屬於逆向工程分析方法。而動態分析方法是指在惡意代碼執行的情況下,利用調試工具對惡意代碼實施跟蹤和觀察,確定惡意代碼的工作過程,以便作進一步分析。
雖然惡意代碼的分析工具多種多樣、日趨完善,但作為計算機用戶的我們更不能掉以輕心,而應該時刻保持警惕。要時常對電腦的行為進行監控,不要只寄希望於殺毒軟件,因為殺毒與免殺的博弈關系會使二者共同發展,並不是所有的惡意代碼都會被殺毒軟件拒之門外

20164317《網絡對抗技術》Exp4 惡意代碼分析

相關推薦

20155233 《對抗Exp4 惡意分析

使用 strace 指令 實驗 運行 分鐘 mage 命令提示符 sha 使用schtasks指令監控系統運行 先在C盤目錄下建立一個netstatlog.bat文件,用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中,netstatlog.bat內容為:

20155304《對抗Exp4 惡意分析

tar capture 有趣 ron 惡意軟件 情況 image linux info 20155304《網絡對抗》Exp4 惡意代碼分析 實踐內容 1.系統運行監控 1.1使用schtasks指令監控系統運行 我們在C盤根目錄下建立一個netstatlog.bat的文本文

2015306 白皎 《攻防》Exp4 惡意分析

minute image 查看 等等 同時 odi 當前 net 技術 2015306 白皎 《網絡攻防》Exp4 惡意代碼分析 netstat 【Mac、Linux、Win】 sysinteral 【MS】:1 2 3 一、系統監控——Windows計劃任務schta

20155334 《攻防》Exp4 惡意分析

計算 log SM 軟件加殼 以及 連接 src \n 三次握手 《網絡攻防》Exp4 惡意代碼分析 一、實驗問題回答 如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。 可以使用工

20164317對抗技術Exp4 惡意分析

調試工具 internal 文件 系統監控 smon jad com 網絡 target 1.實踐目標 1.是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 2.是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinter

2017-2018-2 《對抗技術》 20155322 Exp4 惡意分析

msfvenom 密鑰對 想要 ipv 執行 接收 .net 數據 ref [-= 博客目錄 =-] 1-實踐目標 1.1-實踐介紹 1.2-實踐內容 1.3-實踐要求 2-實踐過程 2.1-Mac下網絡監控 2.2-Windows下網絡監控 2.3-Mac下惡意

2018-2019-2 對抗技術 20165303 Exp4 惡意分析

直觀 註冊表 amp 能力 網絡連接 XML image strac 不成功 實踐目標 1.1是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 1.2是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,sys

2018-2019-2 《對抗技術Exp4 惡意分析 Week6 20165311

9.png network 註冊 錄音 電源 ati 文本處理 pushd 端口開放 2018-2019 20165311 網絡對抗 Exp4 惡意代碼分析 實驗內容 系統運行監控(2分) 惡意軟件分析(1.5分) 報告評分(1分) 基礎問題回答

2018-2019-2 20165330《對抗技術Exp4 惡意分析

h+ port cap 輕量 批處理文件 技術 trac 雙擊 數據流 目錄 基礎問題 相關知識 實驗目的 實驗內容 實驗步驟 實驗過程中遇到的問題 實驗總結與體會 實驗目的 監控你自己系統的運行狀態,看有沒有可疑的程序在運行 分析一個惡意軟件,就分析Exp2或Ex

2018-2019-2 對抗技術 20165206 Exp4 惡意分析

利用 cep 不能 圖片 png 數字 sta 屬性 指導 - 2018-2019-2 網絡對抗技術 20165206 Exp4 惡意代碼分析 - 實驗任務 1系統運行監控(2分) (1)使用如計劃任務,每隔一分鐘記錄自己的電腦有哪些程序在聯網,連接的外部IP是哪裏。運行一

2018-2019-2 20162318《對抗技術Exp4 惡意分析

還需要 網絡 過濾 連接 window rom 註冊 trac 依賴 一、實驗目標 監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,systracer套件

2018-2019-2 20165215《對抗技術Exp4 惡意分析

設置 系統管理 功能 www shel 執行 名稱 文件資源管理器 文件的 目錄 實踐目標 實踐內容 基礎問題回答 實驗步驟 使用schtasks指令監控系

2018-2019-2 對抗技術 20165210 Exp4 惡意分析

興趣 成了 詳細 使用 計時 hand 方式 不知道 退出 2018-2019-2 網絡對抗技術 20165210 Exp4 惡意代碼分析 一、實驗目標 首先是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 其次是分析一個惡意軟件,就分析Exp2或Exp3中生成後門

2018-2019 20165208 對抗 Exp4 惡意分析

簽名 svc ESS 簡單 參考 cpu aps odi download 目錄 2018-2019 20165208 網絡對抗 Exp4 惡意代碼分析 實驗內容 系統運行監控(2分)

20154322 楊欽涵 Exp4 惡意分析

reat 鏈接器 signature .org filter 數據包 百度一 地址 alt Exp4 惡意代碼分析 Exp4 惡意代碼分析 一、基礎問題回答 (1)如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的

20155301 Exp4 惡意分析

數據 所有 對象 方法 病毒 chrome int cer 程序 20155301 Exp4 惡意代碼分析 實踐目標 (1) 是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 (2) 是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令

Exp4 惡意分析

src tst com 退出 動向 roc version kill 進程 Exp4 惡意代碼分析 一、基礎問題回答 如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。 (1)我們可以

20155209林虹宇Exp4 惡意分析

src 方法 shark 配置 查找 scan moni 網信 計劃 Exp4 惡意代碼分析 系統運行監控 使用schtasks指令監控系統運行 新建一個txt文件,然後將txt文件另存為一個bat格式文件 在bat格式文件裏輸入以下信息 然後使用管理員權限打開cmd

20164301 Exp4 惡意分析

tle mil 驅動 分鐘 運行 diff 清除 體會 準備 Exp4 惡意代碼分析 實驗目標 1.是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 2.是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysintern

20164322韓玉婷 -----EXP4 惡意分析

計算 exc ldl 。。 應用程序 時間 解壓 不能 水平 1.實踐目標 1.1是監控你自己系統的運行狀態,看有沒有可疑的程序在運行。 1.2是分析一個惡意軟件,就分析Exp2或Exp3中生成後門軟件;分析工具盡量使用原生指令或sysinternals,systr