20155219付颖卓《网络攻防》Exp4 恶意代码分析

一、基础问题回答

• 如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

可以用window7自带的schtasks，或者下载Sysmon进行对电脑的监控，不过分析起来，需要每一个都点开看，比较繁琐。或者使用wireshark抓包检测流量等进行分析，对于每一包分析起来有很多数据进行辅助，比如端口信息啦，源ip地址啦；或者使用PE Explore分析恶意软件里的内容，还有就是病毒分析网站自带的文进行文分析报告，我们也可以从哪里读取一些我们需要的数据。

• 如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

去网站上扫描分析文件、用Wireshark进行抓包分析、systracer查看具体进程改变的注册表信息、sysmon用来监视和记录系统活动看看日志分析什么的、等等一系列上面的。如果能熟练掌握上述工具，能做到更好的网络攻防了。

实践内容

1.使用schtasks指令监控系统运行

在C盘目录下建立一个netstatlog5219.bat文件，用来将记录的联网结果格式化输出到netstatlog.txt文件中，netstatlog.bat内容为：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

2.在命令行中输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "d:\netstatlog.bat"创建任务，每隔两分钟记录联网内容

得到创建的txt文件

3.打开netstatlog.txt文件查看记录内容，刚开始打开的时候出现以下问题：

可能是权限不够，设置为以管理员身份运行之后仍然无法完成联网记录。出现的问题和上面一样，我去翻学长学姐的博客发现他们并没有很好地解决这个问题。于是我上网搜索，看了很多办法。

给你所需要程序右键属性-兼容性-以管理员身份运行此程序

只在计划任务里设置最高权限运行没用...必须相应的程序也设置

得到了解答。

于是成功了，下面贴上一些主要步骤的图片。

打开计划任务，运行netstatlog这个任务。



右键，属性将如图所示的按钮点亮，问题终于解决了。

下面进行相关分析



进程监控到的有腾讯安全管家

、有道云笔记、

UC浏览器等（其中有一些我也不知道是什么的.exe =_=）。

二 ，安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

先下载好sysmon，地址在这Sysmon v7.01

首先要对软件进行配置，以下是一些说明：记录所有网络连接就可以简单写为 *，不写的不记录。

一般都是写成类似下面的规则，会过滤掉一些。exclude相当于白名单，是那些不用记录的内容。include相当于黑名单。对于一般的使用电脑的人来说使用白名单更安全，凡是不了解都记录。

以下为xml文件

<Sysmon schemaversion="4.00">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>

    <NetworkConnect onmatch="exclude">//监控白名单
      <Image condition="end with">vmware.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
      <Image condition="end with">WeChat.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">// 监控黑名单
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

安装完成之后，看看sysmon是否在运行。



如图所示，已经在运行中。

打开事件查看器，如下图：



做一些活动后，查看sysmon的一些记录，我有如下发现：

这个是我用IE浏览器的显示



这个是我使用wireshark时的显示：

之后使用kali进行后门回连。

sysmon立即捕捉到后门程序的运动

之后使用查找功能，进行筛选，否则在2000+个选项中选出你想要的是很难的，如下图：



我们可以清楚地看到后门程序是如何一步步潜入我们的电脑中的。

首先是网络连接检测



之后是进程创建，之后再kali端就可以对本机电脑进行操作了。



操作完成后，在kali端退出监听，事件查看器中也显示了进程终止的显示。



由此就完成了一次完整的监视。

三、使用SysTracer工具分析恶意软件

1.使用SysTracer工具建立以下五个快照：

• 1.一开始在目标主机上进行快照保存为Snapshot #1；
• 2.在虚拟机中生成后门软件，将文件传到目标主机后快照保存为Snapshot #2；
• 3.在虚拟机开启监听的情况下，在目标主机运行后门程序后快照保存为Snapshot #3；
• 4.在虚拟机对目标主机进行截图后在目标主机中快照保存为Snapshot #4；
• 5.在虚拟机获取目标主机摄像头后在目标主机快照保存为Snapshot #5.

2.快照结果比对分析：

（1）快照1和快照2：

可以看到在ncat文件夹下多了我们传输的backdoor.exe：

也可以看到在传输过程中有网络诉求

（2）快照2和快照3：

成功回连之后发现增加了一些注册表键

（3）快照3和快照4：

注册表信息又有变化

4）快照4和快照5：

获取目标主机摄像头后快照发现传输过来的程序有网络诉求

四、使用wireshark分析恶意代码文件传输情况

1.通过虚拟机向目标主机发送恶意代码，使用wireshark进行抓包，我们抓到了虚拟机与主机的三次握手包

2.建立连接之后具体看一下数据包的内容，这个包是从虚拟机发到主机的，端口是5219，使用IPv4协议



3.同时wireshark还捕捉到我的虚拟机和其他IP地址的连接情况。

四、使用virscan分析恶意软件

1.在病毒分析网站上分析之前我们自己生成的后门程序

（1）发现有21/39的杀软能够查杀到这个恶意代码

（2）可以根据下图看到这个代码由PACKER:UPolyX v0.5加的壳

（3）此病毒能建立到一个指定的套接字连接，并且能够删除注册表键和注册表键值

五、使用PE Explore分析恶意软件

1.使用PE Explore打开可执行文件，可以看出文件的编译时间是2009年7月7日00：09：45，链接器版本号为6.0

2.看一下这个文件的导入表中包含的dll文件：

（1）ADVAPI32.dll可实现对注册表的操控

（2）WSOCK32.dll和WS2_32.dll用于创建套接字

实验总结与体会

本次实验对自己的主机进行了一些监控，发现有一些恶意代码杀软真的检测不出，一些程序真的是默默地在计算机里搞一些事情，甚至在没有开机的情况下，都可以进行一些连接。以后不能只靠着杀毒软件了，我们学习的还都只是皮毛，有太多的我们不知道的东西潜伏者，我们应该在平时多多提高防范意识，多用老师提供的软件进行实时监测，在以后的学习工作中绝对会受益匪浅的。还是那句话，要靠自己啊。。。