20155304《網絡對抗》Exp4 惡意代碼分析
20155304《網絡對抗》Exp4 惡意代碼分析
實踐內容
1.系統運行監控
1.1使用schtasks指令監控系統運行
我們在C盤根目錄下建立一個netstatlog.bat
的文本文件,然後其中輸入以下的內容:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
打開命令行,用schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"
指令創建一個任務,記錄每隔兩分鐘計算機的聯網情況。
1.2使用sysmon工具監控系統運行
在c盤創建一個Sysmoncfg.txt
文件,然後再文件中輸入老師上課給出的代碼
<Sysmon schemaversion="3.10"> <!-- Capture all hashes --> <HashAlgorithms>*</HashAlgorithms> <EventFiltering> <!-- Log all drivers except if the signature --> <!-- contains Microsoft or Windows --> <DriverLoad onmatch="exclude"> <Signature condition="contains">microsoft</ Signature> <Signature condition="contains">windows</ Signature> </DriverLoad> <NetworkConnect onmatch="exclude"> <Image condition="end with">chrome.exe</Image> <Image condition="end with">iexplorer.exe</Image> <SourcePort condition="is">137</SourcePort> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</ TargetImage> <TargetImage condition="end with">svchost.exe</ TargetImage> <TargetImage condition="end with">winlogon.exe</ TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>
配置好文件後用Sysmon.exe -i C:\Sysmoncfg.txt
進行安裝
安裝之後,在事件查看器中看相關的日誌
事件1
事件2
事件3
2.惡意代碼分析
2.1使用VirusTotal分析惡意軟件
用之前生成的惡意程序,放入https://www.virustotal.com/ 中進行分析
2.2使用systracer工具分析惡意軟件
首先下載,之後捕獲快照。
點擊take snapshot來快照,建立4個快照,分別為:
snapshot#1 後門程序啟動前,系統正常狀態
snapshot#2 啟動後門回連Linux
snapshot#3 Linux控制windows查詢目錄
snapshot#4 Linux控制windows在桌面創建一個路徑
先對比下1,2兩種情況:可以看到打開後門後修改了以上兩項註冊表的內容,在應用(Application)——打開端口(Opened Ports)中能看到後門程序回連的IP和端口號。
對比3,4情況:
2.3使用Process Monitor分析惡意軟件
下載軟件
安裝成功,查看監視情況
查看進程樹
3。實驗後回答問題
(1)如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些,用什麽方法來監控。
方法有很多:
使用schtasks指令設置一個計劃任務,每隔一段時間記錄聯網情況,端口情況,註冊表情況。
使用sysmon,配置好想記錄事件的文件,然後查看相應的事件。
一些殺毒軟件也能分析惡意軟件的行為
(2)如果已經確定是某個程序或進程有問題,你有什麽工具可以進一步得到它的哪些信息。
使用systracer,在打開進程前後分別takeshot,對比前後兩張快照課得到進程有哪些行為。
4.實驗總結與體會
這次實踐難度不是很大,但過程比較繁瑣,步驟瑣碎。在此次試驗中我們學會使用了多款軟件來檢查計算機的異常行為和惡意行為,這是一個有趣的過程,做出成果來的每一步都讓自己很有成就感。但在實驗中,自己仍存在許多操作上的不熟練與不足,還需多加學習練習。
20155304《網絡對抗》Exp4 惡意代碼分析