《網絡攻防》Exp4 惡意代碼分析

一、實驗問題回答

1. 如果在工作中懷疑一臺主機上有惡意代碼，但只是猜想，所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些，用什麽方法來監控。
   1. 可以使用工具監測系統，之後進行下一步分析。
   2. 在windows下建立一個監測本機連接ip地址的任務計劃程序。
   3. 通過sysmon監控重要操作，並找到日誌查看。
2. 如果已經確定是某個程序或進程有問題，你有什麽工具可以進一步得到它的哪些信息。
   1. PEiD工具，可以查看程序有沒有被常用的加殼軟件加殼。
   2. PE explorer工具，它可以對程序調用庫等信息進行分析查看，還可以對其反匯編。
   3. 啟動該程序，利用systracer及wireshark動態分析程序動向。

二、實驗過程

- 使用schtasks指令監控系統運行

1.建立文件 netstatlog.bat,文件內容為：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

其作用為把記錄下來的聯網結果記錄到netstatlog.txt文件中。

1. 使用管理員權限運行命令提示符，使用指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"創建一個每隔兩分鐘記錄計算機聯網情況的任務：
   
2. 可以看到netstatlog.txt文件中有：
   
   端口號、ip地址都有記錄。

• 使用sysmon監控系統運行

1. 使用老師提供的配置文件模板進行修改存放在在了C盤。
2. 以管理員身份運行命令行，在sysmon所在的目錄下，使用指令 sysmon.exe -i "Sysmoncfg.txt所在路徑" 安裝sysmon。
   
3. 打開應用程序和服務日誌，根據`Microsoft->Windows->Sysmon->Operational路徑找到記錄文件。
   
   

• systracer註冊表分析

1. 下載systracer並安裝後點擊take snapshot捕獲快照
   
2. 為了體會到該工具的威力，我在捕獲的過程中運行了之前實驗中使用過的後門，與目標主機回連。
   
3. 在快照中我們會發現opened ports ，點開之後可以看到IP以及端口
   

• 聯網情況分析

1. 在後門程序回連的過程中，使用wireshark，進行捕包分析
2. 查看詳細的協議分析發現，後門程序建立了三次握手並回連時進行了基於IP和端口的連接
   

• Process Monitor分析

1. 下載、安裝並打開Process Monitor，就可以直接看到win 7 執行的程序的變化。
2. 從中可以查找到後臺程序Project1.exe的運行。
   

• Process Explorer分析

1. 下載、安裝並打開Process Explorer， 在Process欄可以找到Project1.exe
2. 雙擊點開後，以查看不同的信息：TCP/IP頁簽有程序的連接方式、回連IP、端口等信息。
   

三、實驗總結與體會

這次實驗用到的工具眾多，體驗頗為豐富，只是有關分析的部分，本人做的不夠，頗為遺憾。為此我分析了兩點：1.本人的知識不夠，2.虛擬機中的軟件不多，截取的信息量不夠，3.也是重要的一點，人比較懶（鬼臉）。以後一定克服懶惰，耐下性子，仔仔細細做實驗，認認真真寫博客。

20155334 《網絡攻防》Exp4 惡意代碼分析