20145331魏澍琛《网络对抗》Exp4 恶意代码分析

基础问题回答

1、如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

这次实验中用到了很多的监控软件如

sysmon工具可以监视系统活动，并记录到windows事件日志，得到有关进程创建，网络链接和文件创建时间更改的详细信息

Process Explorer工具可以监视进程执行情况

用wireshark进行抓包分析，查看系统到底进行了哪些网络连接

2、如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

使用systracer来分析某个程序执行前后，计算机注册表、文件、的一些变化情况

使用PEiD查看这个程序是否加壳。

使用Process Monitor查看实时文件系统、注册表和进程/线程活动

实践总结和体会

实验本身不难，但是相对于之前的操作较为复杂一些，电脑开不了两个虚拟机是硬伤，用自己的主机做快照时间真的是太长了（程序太多），不扫磁盘一个快照照了我四十分钟，最后只能另外想办法；再说说实验本身，通过对恶意代码的分析，最大的感触就是恶意代码有着很强的隐蔽性，我们用的杀毒软件并不是万能的，因此我们要学会利用一些工具来对系统中的软件进行监控并分析。

实验过程

一、使用schtasks指令监控系统运行

这个实践我先用任务计划程序设定了半天也没有实现，txt文档显示的始终是bat文件的那三行代码，后来发现bat文件要在cmd命令行中去运行：

1、第一部使用命令C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"在c盘创建文件netstatlog.txt

2、创建好后在命令行输入相应代码

3、随后我们在.txt文件中看到相应输出，记录的都是正常互联网的应用，没有什么不明互联网

4、改一下权限，自动刷新新的数据

二、sysmon工具监控

1、使用老师提供的配置文件，并做简单修改

2、在管理员权限下安装软件

3、启动软件之后，便可以到事件查看器里查看相应的日志

4、查看一下事件详细的信息，里面包括程序名、使用时间、目的ip、端口、通信协议等信息

三、使用virscan分析恶意软件

1、在virscan网站上查看上次实验所做的后门软件的文件行为分析

2、可以看到其进程行为和文件行为

四、使用systracer工具分析恶意软件

这个实验没有完全完成，因为我的电脑不知道怎么回事创建三个快照之后就黑了。。。我还在调试中。

1、建立了三个快照，无后门、植入后门、回连这三个，输入dir命令时电脑gg了

2、但其实也能看出来些东西，对比一下，多了后门程序

3、再看一下，后门程序建立了主机到Kali的tcp连接，进行了回连；后门程序对注册表项进行了修改。

剩下的我还在调试中

五、使用Process Monitor分析恶意软件

打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化，可以看到很多Explorer.exe进程。

六、利用PE Explorer分析

1、用PE Explorer打开后门程序可以看头文件的信息

2、可以看出头文件的指向操作信息

3、可以判断程序引入了哪些dll文件

七、使用wireshark分析恶意软件回连情况

使用wireshark进行抓包后可以看到，其先进行了TCP的三次握手，之后再进行数据的传输

kali IP =172.20.10.3 主机IP =172.20.10.2

八、利用Dependency Walker

可以查看 PE 模块的导入模块、查看PE模块的导入和导出函数

九、利用PEID分析

PEiD是一个常用的的查壳工具，可以分析后门程序5331.exe是否加了壳。

不过查壳的结果是没有找到。。。。