Exp4 惡意代碼分析

實驗目標

1.是監控你自己系統的運行狀態，看有沒有可疑的程序在運行。

2.是分析一個惡意軟件，就分析Exp2或Exp3中生成後門軟件；分析工具盡量使用原生指令或sysinternals,systracer套件。

3.假定將來工作中你覺得自己的主機有問題，就可以用實驗中的這個思路，先整個系統監控看能不能找到可疑對象，再對可疑對象進行

進一步分析，好確認其具體的行為與性質。

回答問題

1.如果在工作中懷疑一臺主機上有惡意代碼，但只是猜想，所有想監控下系統一天天的到底在幹些什麽。請設計下你想監控的操作有哪些，用什麽方法來監控。

監控的操作：監控惡意代碼讀取、添加、刪除了哪些註冊表項，文件，連接了哪些外部IP，傳輸了什麽數據。

方法：通過schtasks指令設置計劃任務或使用sysmon通過事件查看器進行監控。

2.如果已經確定是某個程序或進程有問題，你有什麽工具可以進一步得到它的哪些信息。

• 可以用systracer拍攝快照，前後比較註冊項表，文件，查看連接了哪些外部IP。
• 可以用wireshark來抓包，通過查看數據包來分析該進程的操作。

實驗步驟

一、系統運行監控

1.使用如計劃任務，每隔一分鐘記錄自己的電腦有哪些程序在聯網，連接的外部IP是哪裏。運行一段時間並分析該文件，綜述一下分析結果。目標就是找出所有連網的程序，連了哪裏，大約幹了什麽(不抓包的情況下只能猜)，你覺得它這麽幹合適不。如果想進一步分析的，可以有針對性的抓包。

先在C盤目錄下建立一個netstatlog.txt文件，再另存為重命名為netstatlog.bat，內容為：

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

再輸入命令schtasks /create /TN netstat /sc MINUTE /MO 1 /TR "d:\netstatlog.bat"

即每一分鐘在netstatlog.txt記錄一次計算機聯網情況

在netstatlog中即可看到每分鐘的計算機聯網程序的情況

用excel中的數據透視表更直觀來表現，分析數據

選擇分隔符號

全選分隔符號

選擇B列作為橫軸

去掉多余不用選項，生成數據透視表

1.根據表中發現360se.exe最高，因為做實驗時一直開著360瀏覽器，360SE.exe 是360，當啟動瀏覽器是它就會出現在任務管理器中，關閉任務管理器後會自動退出。

360Tray.exe是360安全衛士實時監控程序。

2.wspcenter.exe是WPS熱點程序，wps.exe第二高，之後用sysmon分析，查找了文件來源，發現不是病毒。

3.Svchost.exe 是從動態鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。這個程序對系統的正常運行是非常重要,而且是不能被結束的。

2.安裝配置sysinternals裏的sysmon工具，設置合理的配置文件，監控自己主機的重點事可疑行為。

首先安裝sysmon工具，先下載從老師給的文件庫裏下載壓縮包，在開始安裝之前

先要配置文件，我直接復制實驗指導上的的配置文件內容。

開始安裝sysmon

以管理員身份打開cmd，輸入以下指令，安裝完成。

打開計算機管理，在事件查看器中可以看到sysmon記錄的內容

接著我打開kali進行回連，控制win，並進行簡單操作

shellcode_upxed.exe是在exp3中生成的加殼後門軟件，這次也是啟動它進行回連。

在啟動後門時，360殺軟掃描到該後門，準備清除病毒，後來添加了可信任文件。

回連成功後在linux中進行了如下操作

發現sysmon中記錄了notepad.exe程序的運行，監控到了可疑行為

後來發現很多wps.exe的監控記錄

根據路徑找到wps.exe，發現是文檔word，不是病毒

百度了發現Svchost.exe 是從動態鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。這個程序對系統的正常運行是非常重要,而且是不能被結束的。

二、.惡意軟件分析

分析該軟件在(1)啟動回連，(2)安裝到目標機(3)及其他任意操作時。

該後門軟件（3）讀取、添加、刪除了哪些註冊表項

（4）讀取、添加、刪除了哪些文件

（5）連接了哪些外部IP，傳輸了什麽數據（抓包分析）

（一）使用systracer工具分析惡意軟件

下載壓縮包，安裝systracer工具

建立第一個快照，即未啟動惡意軟件，未回連時的快照

建立第二個快照，即打開控制臺，回連之後的快照

查看 讀取、添加、刪除了哪些註冊表項 （藍色字體表示該文件與之前相比做出了修改）

HKEY_CLASSES_ROOT包含了所有應用程序運行時必需的信息

HKEY_CURRENT_CONFIG允許軟件和設備驅動程序員很方便的更新註冊表，而不涉及到多個配置文件信息。

HKEY_CURRENT_USER管理系統當前的用戶信息。在這個根鍵中保存了本地計算機中存放的當前登錄的用戶信息，包括用戶登錄用戶名和暫存的密碼

HKEY_LOCAL_MACHINE保存了註冊表裏的所有與這臺計算機有關的配置信息

HKEY_USERS僅包含了缺省用戶設置和登陸用戶的信息。

例如local settings中的software，muicache等註冊表項被修改

有些修改無法查看，如下

直接view difference list查看回連前後不同註冊表項

在控制臺中進行如下操作，再通過快照對比查看讀取、添加、刪除了哪些文件

發現666.TXT文件被改動

再單看第二個快照，發現連接了外部IP , remote address 192.168.132.130

通過惡意軟件打開的句柄可以發現它的操作

回連前後進程對比

惡意軟件回連後，通過快照前後對比發現了shellcode_upxed.exe，可以查看到其所建立的TCP連接以及其詳細的端口地址信息。

（二）使用wireshark分析惡意軟件回連情況

打開wireshark進行抓包，惡意軟件再進行回連進行操作。

回連的本地ip地址192.168.132.1，meterpreter中也有顯示

輸入ip.addr == 192.168.132.1進行過濾，查看抓到的數據包

首三行即TCP的三次握手

帶有PSH,ACK的包傳送的是執行相關操作指令時所傳輸的數據包，包含相關操作內容

.

實驗總結與體會

這次實驗讓我了解了系統運行監控和惡意軟件分析的工具運用和分析方法，實驗過程中發現可疑

對象後通過百度搜索或按原路徑查看文件的方法，確定了可疑對象並非惡意軟件。軟件工具的使

用很簡單，但分析和理解工具所表示的監控內容有難度。

20164301 Exp4 惡意代碼分析