20155204 王昊《网络对抗技术》EXP4

20155204 王昊《网络对抗技术》EXP4

一、实验后回答问题

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

• 用schtasks指令监控系统的联网记录。
• 用sysmon查看进程信息。
• 用wireshark抓取网络连接包，可以看到与谁进行了通信。

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

• 使用Process Explorer分析恶意软件的基本信息以及依赖的dll库。
• 使用virscan、virustotal分析恶意软件的危险程度以及行为。

二、实验总结与体会

这次实验是告诉我们如何分析恶意代码，让我们学到如何发现并分析恶意代码的恶意，很有用。这次用到了许多工具，刚开始做实验还是本着学会这些工具去的，用完之后看看老师的要求才发现这等于没做啊，这才看着截图来学分析，不得不说还是分析更有意义些。

三、实践过程记录

使用schtasks指令监控系统运行

1.先在C盘目录下建立一个netstatlog.bat文件，用来将记录的联网结果格式化输出到netstatlog.txt文件中.

2.netstatlog.bat内容为：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

3.打开cmd输入schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat"，命令会创建一个任务每隔五分钟记录计算机联网。

4.过一段时间可以看到txt文件中的记录。

![] (https://images2018.cnblogs.com/blog/1071529/201804/1071529-20180418143655792-781796717.png)

使用sysmon工具监控系统运行

1.在网上下载了sysmon的7.01版本，然后配置文件如下：

<Sysmon schemaversion="7.01">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">YoudaoNote.exe</Image>
  <Image condition="end with">UCBrowser.exe</Image>
  <Image condition="end with">WeChat.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>

2.使用sysmon -accepteula –i指令对sysmon进行安装。

3.启动后门程序后，用事件查看器可以查看相应日志。

使用virscan、virustotal分析恶意软件

1.扫描刚刚的后门程序，可以看到行为分析以及查毒。

• virscan扫描
  
  
  
  
• virustotal
  
  
  
  

使用systracer工具分析恶意软件

1.使用systracer工具建立了4个快照，分别是在主机中没有恶意软件时、将恶意软件植入到目标主机中后、恶意软件启动回连时、使用恶意软件获取目标主机权限时：

2.一、二相比较没有找到我的后门程序www.exe，我是直接从虚拟中把文件拖了出来，不知道有没有影响。

3.二、三比较找到了这个程序，注册表有变化

4.三、四比较则找到了这个程序调用主机端口、添加注册信息的痕迹。

• 具体分析
• wow64cpu.dll、wow64win.dll：来自Microsoft Corporation。它可以被发现在C:\位置。这是一个潜在的安全风险，它能被病毒恶意修改。
  
  ：同上。
• ntdll.dll：描述了windows本地NTAPI的接口。当Windows启动时，ntdll.dll就驻留在内存中特定的写保护区域，使别的程序无法占用这个内存区域。参考20145326冯佳学姐的说法，才明白后门程序是调用了ntdll.dll中的函数实现的。ntdll.dll中的函数使用SYSENTRY进入ring0，也就是最高级别的权限。十分危险。

使用wireshark分析恶意软件回连情况

1.设置过滤规则找到后门程序回连的过程，发现其三次握手以及数据通信过程。

使用Process Explorer分析恶意软件

1.在虚拟机下通过PE explorer打开文件20145236_backdoor.exe，可以查看PE文件编译的一些基本信息，导入导出表等。

如下图，可以看到该文件的编译时间、链接器等基本信息：

2.如下图，点击“导入表”，可以查看该文件依赖的dll库：

• 具体分析;
• WSOCK32.dll和WS2_32.dll，是用来创建套接字的dll库。扫描程序可以根据程序功能描述和这个库相匹配来得到程序是否有计划外的联网行为。
• ADVAPI32.dll库百度可知：是一个高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关。这个属于恶意代码的标志吧，动不动就要操作注册表，肯定有问题。
  
  另外2个不做过多介绍，属于一般程序在win下都会调用的dll库。