20155301 Exp4 恶意代码分析
20155301 Exp4 恶意代码分析
实践目标
(1) 是监控你自己系统的运行状态,看有没有可疑的程序在运行。
(2) 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
(3) 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
实践内容
2.1系统运行监控
(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
2.2恶意软件分析
分析该软件在
(1)启动回连
(2)安装到目标机
(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
(3)读取、添加、删除了哪些注册表项
(4)读取、添加、删除了哪些文件
(5)连接了哪些外部IP,传输了什么数据(抓包分析)
3.实践内容
3.1 系统运行监控
(1)schtasks指令监控,首先生成一个txt文本文件,在里面输入
date /t >> c:\4317netstatlog.txt
time /t >> c:\4317netstatlog.txt
netstat -bn >> c:\4317netstatlog.txt
(2)将其后缀改为.bat,然后我们找到任务计划程序,然后新建一个任务,配置好触发器,让其五分钟执行一次。
(3)上述操作等同与 schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat" 命令。
(4)用Excel分析记录下来的数据,通过数据进行分析。
(5)我们可以查看计算机在此在期间访问网络的软件。
(6)还可以看一下访问最多的主机连接到的外部地址
(7)我们用网站批量查询一下访问的IP的网站,访问最多的是天津市移动,最多的应用是MicrosoftEdge浏览器,猜想是不是电脑DNS服务器连接的天津的DNS服务器。
3.2 使用sysmon监视系统
sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。
通过收集使用Windows事件集合或SIEM代理生成的事件,然后分析它们,可以识别恶意或异常活动,并了解入侵者和恶意软件在网络上如何操作。
(1)首先编写配置文件,这次实验的配置文件中记录ProcessCreate, FileCreateTime。
<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
<FileCreateTime onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
</FileCreateTime>
<ProcessCreate onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<Image condition="end with">360tray.exe</Image>
</ProcessCreate>
</EventFiltering>
</Sysmon>
(2)打开cmd,安装Sysmon,输入sysmon.exe -i config_file_name
(3)搜索 “事件查看器”,在应用程序和服务日志——>Microsoft——>Windows——>Sysmon——>Operational
(4)观察记录的联网行为,同时并进行了回连操作。
事件一: 记录了事件的时间,发生的位置,使用的用户,安全等级和哈希值等等。
事件二: 记录了事件事件的发生的时间、目标文件的地址,我认为这个是kali回连所产生的事件,kali的目标文件是我们的后门程序。
事件三: 记录了交流用的协议,源IP地址、端口号、以及是否用了IPv6协议。
4.systracer分析
(1)从网络上下载systracer。
点击take snapshot来快照,建立4个快照,分别为:
snapshot#1 后门程序启动前,系统正常状态
可以看到后门程序启动之前,程序的进程中
snapshot#2 启动后门回连Linux
可以观察到图中openitem中的路径,猜测应该是kali使用backdoor.exe访问主机的目录等。
snapshot#3 Linux控制windows查询目录
snapshot#4 Linux控制windows在桌面创建一个路径
(2)对比下1、2两种情况
(3)对比3、4两种情况
使用Process Explorer
Process Explorer可以实时监控计算机的进程状态,我们可以用它来看看Meterpreter进程迁移的行为,首先运行后门程序,我们找到了它的进程,双击进程,我们可以看到详细信息,其中的TCP/IP,在其中我们可以看到源地址是本地主机,目的地址是虚拟机的地址,然后端口是5301,可以分析出后门是让本地对虚拟机进行回连。
Process Monitor
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。 有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常 有用。
运行后门回连成功后进行刷新,可以看到后门程序出现在进程树和主界面中。
下面是后门程序和正常程序的对比,从图中我们可以看到在栈的模块/组件中,后门程序有一部分显示的是未知,而正常程序均是显示的已知模块和组件,我认为这一特点也可以作为判别恶意代码的一个标准。
PEiD分析
PEiD(PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过470 种PE 文档 的加壳类型和签名。
我们把上次实验加壳后的程序放到程序里面测试,其中我们可以看到peid查壳区段的入口点是UPX1,即(EP Section),从最下面一行我们知道后门程序加壳的软件是UPX 0.89.6-1.02/1.05-2.90。如果是未加壳的程序.则显示另一副图。
未加壳版本
使用wireshark分析恶意软件回连情况
可以清楚的看到本地主机IP:192.168.229.1,到kali IP192.168.229.135的TCP三次握手的连接,其中的[PUSH ACK]应该是kali向主机发送命令所捕获的TCP包,从这里我们应该可以分析出恶意代码的指令传送过程。
实验后回答问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
答: 监控方法有本次实验利用的脚本,新建一个任务,监控注册表、系统服务、开机启动项、文件创建、网络连接情况。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
答: 可以通过Wireshark对于网络流量进行监察,是否有不正常的网络通信,并且可以把怀疑的目的IP地址放到网站上查询,进一步探测进程到底在和谁通信,还可以用Process explorer对进程进行监控,记录下可以进行的String字符串信息进行分析。
实验总结与体会
此次实验给我一次机会对电脑的所有进程进行监控,在监测到大量的进程信息后,通过Excel表格、各种分析工具进行筛选,可以把大量的信息整理归纳,以便于针对有问题的进程进行分析,并且通过各种软件我们可以知道进程到底在和谁通信,在什么时候通信,可以让我们知道恶意代码更加详细的信息,以便于后一步的禁用和阻止过程。
20155301 Exp4 恶意代码分析的更多相关文章
- 2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析 1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行. 分析一个恶意软件,就分析Exp2或Exp3中生成后门 ...
- 2018-2019 20165237网络对抗 Exp4 恶意代码分析
2018-2019 20165237网络对抗 Exp4 恶意代码分析 实验目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后 ...
- 2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析
2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析 实验内容(概要) 一.系统(联网)运行监控 1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,逐步排查并且 ...
- 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析
- 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析 - 实验任务 1系统运行监控(2分) (1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP ...
- 2018-2019-2 20165239《网络对抗技术》Exp4 恶意代码分析
Exp4 恶意代码分析 实验内容 一.基础问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. •使用w ...
- 2018-2019 20165235 网络对抗 Exp4 恶意代码分析
2018-2019 20165235 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件 ...
- 2018-2019-2 网络对抗技术 20162329 Exp4 恶意代码分析
目录 Exp4 恶意代码分析 一.基础问题 问题1: 问题2: 二.系统监控 1. 系统命令监控 2. 使用Windows系统工具集sysmon监控系统状态 三.恶意软件分析 1. virustota ...
- 20155312 张竞予 Exp4 恶意代码分析
Exp4 恶意代码分析 目录 基础问题回答 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. (2)如果 ...
- 2018-2019-2 《网络对抗技术》Exp4 恶意代码分析 Week6 20165311
2018-2019 20165311 网络对抗 Exp4 恶意代码分析 2018-2019 20165311 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控(2分) 恶意软件分析(1.5分) ...
随机推荐
- Oracle中Merge的使用
MERGE INTO products p USING product_changes pc ON (p.product_id = pc.product_id) WHEN MATCHED THEN - ...
- Python 排错UnicodeEncodeError 'ascii' codec can't encode character 错误解决方法
Python UnicodeEncodeError 'ascii' codec can't encode character 错误解决方法 by:授客 QQ:1033553122 错误描述: py ...
- Just write about
创建一个学生对象,存储学生对象,学生对象的数据来源于键盘录入,最后遍历集合. 学生类,集合对象,键盘录入数据并将数据赋值给学生类的成员(可以写成一个方法),调用方法,遍历集合.
- Python+Selenium笔记(八):操作下拉菜单
(一) Select类 Select类是selenium的一个特定的类,用来与下拉菜单和列表交互. 下拉菜单和列表是通过HTML的<select> 元素实现的.选择项是通过<sele ...
- Node.js环境搭建和学习(windwos环境)
Node.js环境搭建和学习 一.环境搭建 1.下载安装文件 下载地址http://nodejs-org.qiniudn.com/下载Node.js环境安装包,根据操作系统下载对应的安装包 下载地址 ...
- Python通过Zabbix API获得数据
Zabbix API查询:https://www.zabbix.com/documentation/2.0/manual/appendix/api/api import json,urllib2 fr ...
- abp框架里使用Redis
首先引用 nuget Abp.RedisCache 在 appsettings.json加上Redis服务器配置 "RedisCache": { "ConnectionS ...
- Online, Cheap -- and Elite
Online, Cheap -- and Elite Analysis of Georgia Tech’s MOOC-inspired online master's in computer scie ...
- GridBagLayout布局管理器应用详解
http://www.cnblogs.com/kungfupanda/p/7220217.html GridBagLayout布局管理器应用详解 很多情况下,我们已经不需要通过编写代码来实现一个应用程 ...
- MySQL主从复制日常管理维护篇
日常工作中,我们需要经常进行一些监控和管理维护工作,以便能及时发现一些复制中的问题,并尽快解决,以此来保证复制能够正常工作 1.查看从库状态 MySQL [(none)]> show slave ...