20164318 毛瀚逸 Exp4 恶意代码分析

---恢复内容开始---

1 关键内容

系统运行监控

（1）使用计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果。

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

恶意软件分析

分析后门软件

（3）读取、添加、删除了哪些注册表项

（4）读取、添加、删除了哪些文件

（5）连接了哪些外部IP，传输了什么数据

2 系统运行监控

实验在本机中进行。设置任务计划，计划任务名为20164318，每隔1分钟运行，结果输出至C盘根目录.

　schtasks /create /TN 20164318 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > e:\20164318.txt"

同时创建一个bat文件，用于记录时间。

（txt直接改后缀为bat）

然后直接在搜索里面打开计划任务程序，找到我们的20164318计划

勾选上最高权限运行

我电脑常年接电，我寻思着不用管电池的问题

然后把脚本选定为之前的那个bat

这个地方忘记改文件后缀了，一直打开txt来着。。。

运行一段时间后得到结果

经过和任务管理器对比，发现基本上就是网易云啊。。。wps啊等我在使用的软件，好像没有什么特别的东西。

安装sysmon

并且配置好

<Sysmon schemaversion="4.20">  <HashAlgorithms>*</HashAlgorithms> <EventFiltering>   <DriverLoad onmatch="exclude"> <Signature condition="contains">microsoft</Signature> <Signature condition="contains">windows</Signature> </DriverLoad> <NetworkConnect onmatch="exclude"> <Image condition="end with">iexplorer.exe</Image> <SourcePort condition="is">137</SourcePort> <SourceIp condition="is">127.0.0.1</SourceIp> </NetworkConnect> <NetworkConnect onmatch="include"> <DestinationPort condition="is">5325</DestinationPort> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</TargetImage> <TargetImage condition="end with">svchost.exe</TargetImage> <TargetImage condition="end with">winlogon.exe</TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>

打开kali，将之前设置好的后门上传到virustotal扫描

可以看到具体的信息

然后回连成功之后，可以用process monitor监管

（看不懂）

在process explorer中可以看到具体的占用系统资源数量

3.报告内容

3.1实验后回答问题

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

如果我作为恶意代码的设计者，最大的方向应该是向赚钱的方向努力，因此，个人的隐私、照片、账号，其次是针对与现在企业的“用户画像”提供数据。监控的话我认为从键盘输入，摄像头输入等等比较靠谱。

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

比如上面提到的process monitor，还有之前的wireshark等等，可以具体的查出连接的端口号啥的。

实验心得

原来恶意代码不是像电影里面一样有帅气的UI，恰恰重点是在漏洞与边界之间的斗争，有矛就有盾，但是我们防御也要看清楚到底防御的东西在哪，这就是这次实验的意义把。