20145304 Exp4 恶意代码分析

实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

  • 监控连网记录,查看有没有可疑的信息,可使用Windows计划任务或schtasks来监控系统
  • 监控驱动加载、线程注入等,可使用Sysmon工具,在事件查看器查看。
  • 捕获数据包,分析其内容,看是否有不正常的连接,可开启wireshark。
  • 注册表,运行程序等,可使用systracer拍摄快照,进行对比。
  • 查看开放端口,是否有不需要开放的端口被开启。

    (2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
  • 可用PEView来查看该程序是否加壳。
  • PEView逆向查看该程序,可能会找到关于网络连接和编译的线索。
  • 使用systracer拍摄快照,分析程序运行前后的变化。

实验总结与体会

电脑中正在运行的东西,不仅仅只有我们看到的,还可能有一些我们感觉不到的恶意代码在运行,之前的几次实验我们学习的是如何制作恶意代码,这次的恶意代码分析,让我们能依据之前自己做的恶意代码的功能,去分析一些值得关注的一些内容,也为以后可能的分析提供了思路。通过之前的免杀,杀毒软件有时也是很不可靠的,还得靠自己来监控判断,掌握一项技能很重要。

实践过程记录

恶意代码静态分析

将逆序后的shellcode代码放到恶意代码的检测网站上检测。

分析结果显示,39款软件有5款认为其不安全,从检测报告可以推测出该程序可能为一个shellcode的木马。

查看文件行为分析可看到该程序未加壳,还可看到回连的IP与端口信息。

PEiD查看该代码是否加壳

可以看出其编译环境为VC

PEView

使用PEView逆向查看后门程序,猜想可能会有关于IP和端口的信息,但 没有找到,数据处大都是乱码,在调试部分,发现了本机上编译该代码的地址。

系统运行监控

使用schtasks分析网络连接情况

  • 创建计划任务。

  • 为方便观察,使用批处理,在C盘下建一个文件netstatlog.bat,并在计划任务中修改操作的添加参数为c:\netstatlog.bat

  • 将netstatlog.txt文件另存为.vbs文件,用Excel打开,进行筛选,查看结果。在5个小时里共有273条记录,删除重复项后只剩19条,除去无用的信息,观察剩下的,无可疑的地方。

使用Sysmon监控

  • 创建配置文件
<Sysmon schemaversion="3.10">

  <!-- Capture all hashes -->

  <HashAlgorithms>*</HashAlgorithms>

  <EventFiltering>

    <!-- Log all drivers except if the signature -->

    <!-- contains Microsoft or Windows -->

    <DriverLoad onmatch="exclude">

      <Signature condition="contains">microsoft</Signature>

      <Signature condition="contains">windows</Signature>

    </DriverLoad>

    <NetworkConnect onmatch="exclude">

      <Image condition="end with">chrome.exe</Image>

      <Image condition="end with">iexplorer.exe</Image>

      <SourcePort condition="is">137</SourcePort>

      <SourceIp condition="is">127.0.0.1</SourceIp>

    </NetworkConnect>

    <CreateRemoteThread onmatch="include">

      <TargetImage condition="end with">explorer.exe</TargetImage>

      <TargetImage condition="end with">svchost.exe</TargetImage>

      <TargetImage condition="end with">winlogon.exe</TargetImage>

      <SourceImage condition="end with">powershell.exe</SourceImage>

    </CreateRemoteThread>

  </EventFiltering>

</Sysmon>

  • 安装sysmon

  • 配置

  • 在事件查看器里查看、分析时发现了使用sogou截图

  • 创建配置文件

  • 不知道360在干嘛

  • audiodg.exe是Windows的音频操作进程。

恶意软件分析

使用systracer

  • 使用systracer分别建立了没有恶意软件时,装入恶意软件时,启动回连,执行系统命令,开启键盘捕获时的快照。

  • 快照1与2对比,发现文件处多了装入的恶意代码

  • 快照2与3对比,应用在运行

  • 快照3与4对比,应用中运行了CMD

  • 快照4与5对比,注册表发生了较大变化

使用wireshark在回连时捕包

  • 通过捕获到的数据包可以看出是本机主动连接虚拟机,并建立了TCP连接。

20145304 Exp4 恶意代码分析的更多相关文章

  1. 2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析

    2018-2019-2 网络对抗技术 20165232 Exp4 恶意代码分析 1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行. 分析一个恶意软件,就分析Exp2或Exp3中生成后门 ...

  2. 2018-2019 20165237网络对抗 Exp4 恶意代码分析

    2018-2019 20165237网络对抗 Exp4 恶意代码分析 实验目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后 ...

  3. 2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析

    2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析 实验内容(概要) 一.系统(联网)运行监控 1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,逐步排查并且 ...

  4. 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析

    - 2018-2019-2 网络对抗技术 20165206 Exp4 恶意代码分析 - 实验任务 1系统运行监控(2分) (1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP ...

  5. 2018-2019-2 20165239《网络对抗技术》Exp4 恶意代码分析

    Exp4 恶意代码分析 实验内容 一.基础问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. •使用w ...

  6. 2018-2019 20165235 网络对抗 Exp4 恶意代码分析

    2018-2019 20165235 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件 ...

  7. 2018-2019-2 网络对抗技术 20162329 Exp4 恶意代码分析

    目录 Exp4 恶意代码分析 一.基础问题 问题1: 问题2: 二.系统监控 1. 系统命令监控 2. 使用Windows系统工具集sysmon监控系统状态 三.恶意软件分析 1. virustota ...

  8. 20155312 张竞予 Exp4 恶意代码分析

    Exp4 恶意代码分析 目录 基础问题回答 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控. (2)如果 ...

  9. 2018-2019-2 《网络对抗技术》Exp4 恶意代码分析 Week6 20165311

    2018-2019 20165311 网络对抗 Exp4 恶意代码分析 2018-2019 20165311 网络对抗 Exp4 恶意代码分析 实验内容 系统运行监控(2分) 恶意软件分析(1.5分) ...

随机推荐

  1. 深入理解朴素贝叶斯(Naive Bayes)

    https://blog.csdn.net/li8zi8fa/article/details/76176597 朴素贝叶斯是经典的机器学习算法之一,也是为数不多的基于概率论的分类算法.朴素贝叶斯原理简 ...

  2. ubuntu16.4中安装samba服务

    一.下载samba软件包,不用安装其他的了,因为它会自动帮我们下载所需要的其他依赖包 sudo apt-get install samba 二.修改/etc/samba目录下的配置文件,smb.con ...

  3. 几种常见web攻击手段及其防御方式

    XSS(跨站脚本攻击) CSRF(跨站请求伪造) SQL注入 DDOS web安全系列目录 总结几种常见web攻击手段极其防御方式 总结几种常见的安全算法 XSS 概念 全称是跨站脚本攻击(Cross ...

  4. 1.cassandra的搭建

    参考: https://blog.csdn.net/ch648966459/article/details/51671276

  5. (转)FastDFS文件存储

    一.FastDFS介绍 FastDFS开源地址:https://github.com/happyfish100 参考:分布式文件系统FastDFS设计原理 参考:FastDFS分布式文件系统 个人封装 ...

  6. SSH进行登录远程主机,实验室网站,项目

    1:下载putty,双击putty.exe     http://www.putty.be/latest.html 输入要连接的ip和端口号,直接打开open.或者在saved Sessions框里面 ...

  7. PHP消息队列实现及应用_慕课网学习

    https://blog.csdn.net/d_g_h/article/details/79643714 https://blog.csdn.net/tTU1EvLDeLFq5btqiK/articl ...

  8. (转)Elasticsearch聚合初探——metric篇

    前言 ES中的聚合被分为两大类:Metric度量和bucket桶(原谅我英语差,找不到合适的词语.....就用单词来说吧!).说的通俗点,metric很像SQL中的avg.max.min等方法,而bu ...

  9. PAT 1068 Find More Coins[dp][难]

    1068 Find More Coins (30)(30 分) Eva loves to collect coins from all over the universe, including som ...

  10. 9/252D图的画法

    我们在介绍之前先想想2D图的一些元素 我在这里按我的思路写下一些: 坐标轴(尺度,区间..),线条(样式,颜色...),图和线的标签和注释,图像大小,图像里图片的排版(一张图像中多张图) 下面我们将分 ...