20164317《网络对抗技术》Exp4 恶意代码分析

1.实践目标

1.是监控你自己系统的运行状态，看有没有可疑的程序在运行。

2.是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。

3.假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

2.实践过程记录

一、系统运行监控

（1）使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么。如果想进一步分析的，可以有针对性的抓包。

第一步：使用schtasks的命令创建计划任务netstat20164317

键入：schtasks /create /TN 20164317netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt

TN是TaskName的缩写，我们创建的计划任务名是20164317netstat;

sc表示计时方式，我们以分钟计时填MINUTE；

TR=Task Run，要运行的指令是 netstat

-bn,b表示显示可执行文件名，n表示以数字来显示IP和端口;

c:\netstatlog.txt类似于Linux中的重定向，输出将存放在C盘下的netstatlog.txt文件中

创建成功结果如下：

此命令完成后，每1分钟就会监测哪些程序在使用网络，并把结果记录在netstatlog.txt文档里，为了显示日期和时间，我们通过bat批处理文件来实现

第二步：在C盘要目录下建一个文件c:\netstatlog.bat

直接在C盘下是没法创建文件的，所以为了解决这个问题我试了几种方法：

在命令行下输入指令type nul>netstatlog.bat，结果提示拒绝访问。

在前面加个sudo结果还是提示拒绝访问。

最终解决的方法是在桌面上创建一个netstatlog.txt文件，编辑文件内容如下：

date /t >> c:\netstatlog.txt

time /t >> c:\netstatlog.txt

netstat -bn >> c:\netstatlog.txt

保存后修改文件名为“netstatlog.bat”；

粘贴到C盘中，这是需要用管理员权限；

可以右键点击“编辑”用记事本查看bat文件内容。

第三步：编辑任务操作：

1.打开任务计划程序，可以看到我们新创建的这个任务：

双击这个任务，点击操作并编辑，将“程序或脚本”改为我们创建的netstatlog.bat批处理文件，确定即可

执行此脚本一定时间，就可以在netstatlog.txt文件中查看到本机在该时间段内的联网记录

当记录的数据足够丰富时，停止任务，将所得数据在excel中进行分析

可以看到用得最多的是360浏览器，其它也没什么异常的

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

• sysmon是微软Sysinternals套件中的一个工具，使用sysmon工具前首先要配置文件。根据老师的要求，最少要记录Event 1,2,3三个事件。即进程创建、进程创建时间、网络连接。
• 创建配置文件Sysmon20164317.xml
  文件内容如下：

<Sysmon
schemaversion="9.01">

<!-- Capture all hashes -->

<HashAlgorithms>*</HashAlgorithms>

<EventFiltering>

<!-- Log all drivers except if the signature -->

<!-- contains Microsoft or Windows -->

<ProcessCreate onmatch="exclude">

<Image condition="end with">chrome.exe</Image>

<Image condition="end with">firefox.exe</Image>

</ProcessCreate>

<ProcessCreate onmatch="include">

<ParentImage condition="end
with">cmd.exe</ParentImage>

</ProcessCreate>

<FileCreateTime onmatch="exclude" >

<Image condition="end with">chrome.exe</Image>

<Image condition="end with">firefox.exe</Image>

</FileCreateTime>

<NetworkConnect onmatch="exclude">

<Image condition="end with">chrome.exe</Image>

<Image condition="end with">firefox.exe</Image>

<SourcePort condition="is">137</SourcePort>

<SourceIp condition="is">127.0.0.1</SourceIp>

</NetworkConnect>

<NetworkConnect onmatch="include">

<DestinationPort
condition="is">80</DestinationPort>

<DestinationPort
condition="is">443</DestinationPort>

</NetworkConnect>

<CreateRemoteThread onmatch="include">

<TargetImage condition="end
with">explorer.exe</TargetImage>

<TargetImage condition="end
with">svchost.exe</TargetImage>

<TargetImage condition="end
with">firefox.exe</TargetImage>

<TargetImage condition="end
with">winlogon.exe</TargetImage>

<SourceImage condition="end
with">powershell.exe</SourceImage>

</CreateRemoteThread>

</EventFiltering>

</Sysmon>

使用Sysmon.exe -i
C:\Sysmon20164317.xml安装sysmon

win10下，左下角开始菜单右击->事件查看器->应用程序和服务日志->Microsoft->Windows->Sysmon->Operational。在这里，我们可以看到按照配置文件的要求记录的新事件，以及事件ID、任务类别、详细信息等等

打开这个事件，可以看到其属于“NetworkContect”。查看详细信息，可以看到这个后门映像文件的具体位置、源IP和端口、目的IP和端口等

2.2恶意软件分析

1.静态分析
文件扫描（VirusTotal、VirusScan工具等）
文件格式识别（peid、file、FileAnalyzer工具等）
字符串提取（Strings工具等）
反汇编（GDB、IDAPro、VC工具等）
反编译（REC、DCC、JAD工具等）
逻辑结构分析（Ollydbg、IDAPro工具等）
加壳脱壳（UPX、VMUnPacker工具等）

2.动态分析
快照比对（SysTracer、Filesnap、Regsnap工具等）
抓包分析（WireShark工具等）
行为监控（Filemon、Regmon、ProcessExplorer工具等）
沙盒（NormanSandbox、CWSandbox工具等）
动态跟踪调试（Ollydbg、IDAPro工具等）

（1）使用VirusTotal分析恶意软件

把生成的恶意代码放在VirusTotal进行分析，结果如图：

查看这个恶意代码的基本属性

我们可以看到文件的类型、大小、SHA-1、MD5摘要值等结果

算法库支持情况

（2）使用systracer分析

分别在装了后门不连接，进行回连，进行截屏操作，三个状态抓快照。

比较不回连和回连：

171717是我的后门，可以看到回连是多了很多东西，虽然不太能理解。

进行操作后：

可以看到变化不大。

3.基础问题回答

问题1：如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控?

答： 1.利用系统命令查看系统各项状态，并将查看结果保存为日志。使用计划任务为命令设置执行间隔，通过监控系统一段时间的运行状态来监控系统。

2.使用具有监控系统功能的可靠软件来实现系统监控。

问题2：

如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息?

答：1.使用systracer工具对确定的恶意软件进行行为分析。

2.使用wireshark网络嗅探工具对该软件的网络通信情况进行分析。

4.实验感想

本次实验的内容十分丰富，我们尝试学习和使用了数款用于检测恶意代码的指令或是软件，这些工具都能很好地辅助我们对主机进行监控，以发现恶意行为并进行及时处理。
通过学习了解到，恶意代码的分析方法主要分为静态分析方法和动态分析方法。这两种方法在本次实验中都有所涉及。静态分析方法是指在不执行二进制程序的条件下进行分析，如反汇编分析等，属于逆向工程分析方法。而动态分析方法是指在恶意代码执行的情况下，利用调试工具对恶意代码实施跟踪和观察，确定恶意代码的工作过程，以便作进一步分析。
虽然恶意代码的分析工具多种多样、日趋完善，但作为计算机用户的我们更不能掉以轻心，而应该时刻保持警惕。要时常对电脑的行为进行监控，不要只寄希望于杀毒软件，因为杀毒与免杀的博弈关系会使二者共同发展，并不是所有的恶意代码都会被杀毒软件拒之门外