20155211 Exp4 恶意代码分析

20155211 Exp4 恶意代码分析

实践目标

1 监控你自己系统的运行状态，看有没有可疑的程序在运行。

2 是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。

3假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

实践内容

系统运行监控

（1）使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

恶意软件分析

分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件

（3）读取、添加、删除了哪些注册表项

（4）读取、添加、删除了哪些文件

（5）连接了哪些外部IP，传输了什么数据（抓包分析）

实践过程

使用schtasks指令监控系统运行

• 先在Win7中任意位置建立一个netstatlog.txt

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

• 然后另存为时选择保存类型为任意文件，并将.txt后缀修改为.bat脚本文件，之后拖动到C盘根目录。

• 再新建一个空的netstatlog.txt文件，拖动到C盘根目录

• 打开Dos命令行，输入指令 schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat" 创建一个每隔两分钟记录计算机联网情况的任务：（注意以管理员身份运行）
  
  

• 之后查看一下netstatlog.txt文件：（此时文件可能为空；打开控制面板-管理工具-任务计划程序，选择nestat,将权限改为最高权限）
  
  

使用sysmon工具监控系统运行

• 下载sysmon
• 在Sysmon.exe同目录下建立文件：test.txt，并输入以下XML：

<Sysmon schemaversion="3.10">
  <!-- Capture all hashes -->

  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">chrome.exe</Image>
  <Image condition="end with">iexplorer.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• 管理员身份运行命令行提示符，输入指令： Sysmon.exe -i test.txt ，进行安装：
  
  

• 然后控制面板-管理工具-事件查看器。选择应用和服务日志-Windows-Operational查看
  
  

• 分析：
  
  

• 机器上的360安全管家
  
  

• wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对计算机系统的正常运行是非常重要的。

使用systracer工具分析恶意软件

• 建立了三个快照，分别是植入后门时，植入后门进行回连，回连输入dir命令
  
  

• 对比回连和未回连时，会发现建立了tcp端口
  
  

• 修改的文件，目录
  
  

• 快照文件中多了后门文件
  
  

使用Process Monitor分析恶意软件

• 使用Process Monitor对恶意软件进行分析时可以看到很多Explorer.exe进程，是恶意软件对其进程进行的伪装：
  
  

• 查看运行时的状态
  
  

在使用

总结

这次实验让我们知道了在怀疑电脑里有问题的时候，可以如何查看自己电脑正在运行的程序，感觉在上次实验感觉到的恐慌在这次被巧妙地化解了。不过实验中仍然有遇到的尚未找到解决的问题：在使用systracter进行快照时，曾经出现过如下问题

，因为没找到解决的方法，所以把软件卸载重装解决的。。。