20164324王启元 Exp4恶意代码分析

一、实验要求

1、系统运行监控

• 使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。
• 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

2、恶意软件分析

分析该软件在

• 启动回连
• 安装到目标机
• 及其他任意操作时（如进程迁移或抓屏）

该后门软件

• 读取、添加、删除了哪些注册表项
• 读取、添加、删除了哪些文件
• 连接了哪些外部IP，传输了什么数据（抓包分析）

二、实验步骤

1、windows计划任务

• 以管理员身份打开cmd，使用指令```schtasks /create /TN 4324netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt创建计划任务5315netstat，记录每1分钟计算机联网情况：

• 一、实验要求

  1、系统运行监控

  • 使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。
  • 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

  2、恶意软件分析

  分析该软件在

  • 启动回连
  • 安装到目标机
  • 及其他任意操作时（如进程迁移或抓屏）

  该后门软件

  • 读取、添加、删除了哪些注册表项
  • 读取、添加、删除了哪些文件
  • 连接了哪些外部IP，传输了什么数据（抓包分析）

  二、实验步骤

  1、windows计划任务

  • 以管理员身份打开cmd，使用指令```schtasks /create /TN 5315netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt创建计划任务5315netstat，记录每1分钟计算机联网情况：

  • 一、实验要求

    1、系统运行监控

    • 使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。
    • 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

    2、恶意软件分析

    分析该软件在

    • 启动回连
    • 安装到目标机
    • 及其他任意操作时（如进程迁移或抓屏）

    该后门软件

    • 读取、添加、删除了哪些注册表项
    • 读取、添加、删除了哪些文件
    • 连接了哪些外部IP，传输了什么数据（抓包分析）

    二、实验步骤

    1、windows计划任务

    • 以管理员身份打开cmd，使用指令```schtasks /create /TN 4324netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt创建计划任务5315netstat，记录每1分钟计算机联网情况：
    • 

      在桌面建立一个netstatlog.txt文件，内容为

    • date /t >> c:\netstatlog.txt
      time /t >> c:\netstatlog.txt
      netstat -bn >> c:\netstatlog.txt

    • 这些指令是用来将记录的联网结果格式化输出到netstatlog.txt文件中

      • 将后缀名改为.bat后，用管理员身份将该文件放入C盘

      • 打开计算机管理的“任务计划程序库”，可以查看到4324netstat任务就绪，打开其属性，修改其指令为c:\netstatlog.bat

      • 

        在属性中“常规”一栏最下面勾选“使用最高权限运行”，不然程序不会自动运行

      • 

        在属性中“条件”这一选项中的“电源”一栏中，取消勾选“只有计算机使用交流电源才启动此任务”，防止电脑一断电任务就停止

      • 

        可以在C盘的netstat4324.txt文件中查看到本机在该时间段内的联网记录：

      • 

        等待一段时间（如一天），将存储的数据通过excel表进行整理

      • 

        首先我们可以看到TCP是最多的，其次是“wps.exe”和“kxes core.exe”。一个是wps软件云端的一个服务的进程，另一个kxescore.exe是金山毒霸的密保用户的进程。注册了金山密保之后就会呈现的。

      • 2、使用sysmon工具

        • 首先创建配置文件sysmon4324.xml，文件中包含指令

        • <Sysmon schemaversion="4.20">

          <!-- Capture all hashes -->

          <HashAlgorithms>*</HashAlgorithms>

          <EventFiltering>

          <!-- Log all drivers except if the signature -->

          <!-- contains Microsoft or Windows -->

          <ProcessCreate onmatch="exclude">

          <Image condition="end with">chrome.exe</Image> </ProcessCreate>

          <FileCreateTime onmatch="exclude" >

          <Image condition="end with">chrome.exe</Image> </FileCreateTime>

          <NetworkConnect onmatch="exclude">

          <Image condition="end with">chrome.exe</Image>

          <SourcePort condition="is">137</SourcePort>

          <SourceIp condition="is">127.0.0.1</SourceIp>

          </NetworkConnect>

          <NetworkConnect onmatch="include">

          <DestinationPort condition="is">80</DestinationPort>
           
                <DestinationPort condition="is">443</DestinationPort>

          </NetworkConnect>

          <CreateRemoteThread onmatch="include">

          <TargetImage condition="end with">explorer.exe</TargetImage>

          <TargetImage condition="end with">svchost.exe</TargetImage>
            
                 <TargetImage condition="end with">winlogon.exe</TargetImage>

          <SourceImage condition="end with">powershell.exe</SourceImage>

          </CreateRemoteThread>
           
            </EventFiltering>

          </Sysmon>

        • 以管理员身份打开命令行，使用指令Sysmon.exe -i C:\sysmon4324.xml安装sysmon
        • 

          在事件查看器中的应用程序和服务日志下，查看Microsoft->Windows->Sysmon->Operational。在这里，我们可以看到按照配置文件的要求记录的新事件，以及事件ID、任务类别、详细信息等等

        • 

          

          点开事件三，发现是我关闭了电脑管家

        • 

          运行实验三中生成的后门程序，并用kali进行回连

        • 

          发现了有上网浏览的历史记录。

        • 3、恶意软件分析
        • 文件扫描（VirusTotal、VirusScan工具等）
        • 文件格式识别（peid、file、FileAnalyzer工具等）
        • 字符串提取（Strings工具等）
        • 反汇编（GDB、IDAPro、VC工具等）
        • 反编译（REC、DCC、JAD工具等）
        • 逻辑结构分析（Ollydbg、IDAPro工具等）
        • 加壳脱壳（UPX、VMUnPacker工具等）
        • 文件扫描（VirScan工具）
        • 使用在线VirusScan工具对上次实验中生成的.jar文件进行扫描，有（8/49）个软件发现病毒
        • 

          点击扫描结果下方的的哈勃文件分析查看详细分析结果

      • 

        

        

        总结：
        此恶意代码主要就是通过建立一个反弹连接，受害机一旦运行该程序，攻击机就会自动获取该受害机的控制权限，并在受害机中创建进程、修改删除文件、创建事件对象等等，对受害机造成很大的威胁。

      • 四、实验总结

        1、实验后回答问题

        （1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

      • 使用windows自带的schtasks指令设置一个计划任务，每隔一定的时间对主机的联网记录等进行记录。

      • 使用sysmon工具，通过配置想要监控的端口、注册表信息、网络连接等信息，记录相关的日志文件。

        （2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

      • 使用VirusScan工具对可疑文件进行扫描，在哈勃文件分析当中可以很清晰的了解到这个进程的问题是什么。
      • 2.实验心得：这次的实验相对于前几次来说是比较有困难的，但是我觉得在进行了这次试验之后，我真切的学到了一些能够保护自己电脑的手段，觉得非常的开心。