网络对抗技术 20164323 Exp4 恶意代码分析

1、如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

监控注册表和文件改动、端口占用、进程驻留等操作。可使用本次实验的netstat记录网络连接情况然后分析,当然wireshark等工具也可以使用。

2、如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

可通过查看sysmon日志找到该进程邻近或同一时刻的进程动态,源IP、目的IP,端口号和进程号等,以及进一步分析它所创建的子进程。

实验内容

任务一:使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

1、在windows命令行下输入命令

schtasks /create /TN 20164323netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt

"创建名20164323netsta的任务计划

> TN:Task Name,本例中是netstat> SC: SChedule type,本例中是MINUTE,以分钟来计时。本例中设置为5分钟> MO: MOdifier> TR: Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口

2、通过notepad创建netstatlog.bat

内容如下:

date /t >> c:\netstatlog.txttime /t >> c:\netstatlog.txtnetstat -bn >> c:\netstatlog.txt

然后将其放到C盘根目录下(需要管理员权限)

3、编辑任务操作

进入管理工具,在任务计划程序中找到刚创建的任务20164323netstat

将操作页面里的启动程序修改为netstatlog.bat,并且在常规页面里开启以最高权限执行以防权限不够无法在C根目录创建.txt文件

4、由于是每隔一分钟就记录网络情况,所以此时可以看到netstatlog.txt里已经有更新的内容。(然后等待很长一段时间)

5、用excel生成图表分析

任务二:安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为

1、创建20164323monconfig.txt作为sysmon的配置文件

内容如下:

<Sysmon schemaversion="4.20"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><ProcessCreate onmatch="exclude">    <Image condition="end with">chrome.exe</Image></ProcessCreate><FileCreateTime onmatch="exclude" ><Image condition="end with">chrome.exe</Image></FileCreateTime><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp></NetworkConnect><NetworkConnect onmatch="include">    <DestinationPort condition="is">80</DestinationPort>     <DestinationPort condition="is">443</DestinationPort>   </NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread></EventFiltering></Sysmon>

启动sysmon

下载sysmon,解压。

安装sysmon:以管理员身份执行命令sysmon.exe -i C:\20164323moncfig.txt

会提示出错,输入命令sysmon -accepteula -i -n;

就会在任务管理器中看到sysmon.exe已经在运行了

在事件查看器里查看日志

图标“计算机”右键,点击打开“管理”。点击左侧“系统工具”->“事件查看器”->应用程序和服务日志/Microsoft/Windows/Sysmon/Operational

运行之前制作的后门回连我的kali

查询得到进程号为3452

在日志中以进程号为关键词搜索相关信息

首先找到了我的后门程序

日志名称:          Microsoft-Windows-Sysmon/Operational来源:            Microsoft-Windows-Sysmon日期:            2019/4/6 19:55:47事件 ID:         3任务类别:          Network connection detected (rule: NetworkConnect)级别:            信息关键字:          用户:            SYSTEM计算机:           LAPTOP-TH3K87JU描述:Network connection detected:RuleName:UtcTime: 2019-04-06 11:55:46.020ProcessGuid: {1283ad99-93c1-5ca8-0000-0010a9cbc502}ProcessId: 3452Image: D:\作业\gongxiang\4323met.exeUser: LAPTOP-TH3K87JU\dzyProtocol: tcpInitiated: trueSourceIsIpv6: falseSourceIp: 192.168.38.1SourceHostname: LAPTOP-TH3K87JUSourcePort: 52768SourcePortName:DestinationIsIpv6: falseDestinationIp: 192.168.38.128DestinationHostname:DestinationPort: 4323DestinationPortName:事件 Xml:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"><System><Provider Name="Microsoft-Windows-Sysmon" Guid="{5770385F-C22A-43E0-BF4C-06F5698FFBD9}" /><EventID>3</EventID><Version>5</Version><Level>4</Level><Task>3</Task><Opcode>0</Opcode><Keywords>0x8000000000000000</Keywords><TimeCreated SystemTime="2019-04-06T11:55:47.962346900Z" /><EventRecordID>4020</EventRecordID><Correlation /><Execution ProcessID="16028" ThreadID="17196" /><Channel>Microsoft-Windows-Sysmon/Operational</Channel><Computer>LAPTOP-TH3K87JU</Computer><Security UserID="S-1-5-18" /></System><EventData><Data Name="RuleName"></Data><Data Name="UtcTime">2019-04-06 11:55:46.020</Data><Data Name="ProcessGuid">{1283AD99-93C1-5CA8-0000-0010A9CBC502}</Data><Data Name="ProcessId">3452</Data><Data Name="Image">D:\作业\gongxiang\4323met.exe</Data><Data Name="User">LAPTOP-TH3K87JU\dzy</Data><Data Name="Protocol">tcp</Data><Data Name="Initiated">true</Data><Data Name="SourceIsIpv6">false</Data><Data Name="SourceIp">192.168.38.1</Data><Data Name="SourceHostname">LAPTOP-TH3K87JU</Data><Data Name="SourcePort">52768</Data><Data Name="SourcePortName"></Data><Data Name="DestinationIsIpv6">false</Data><Data Name="DestinationIp">192.168.38.128</Data><Data Name="DestinationHostname"></Data><Data Name="DestinationPort">4323</Data><Data Name="DestinationPortName"></Data></EventData></Event>

任务三:恶意软件分析

分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件

(3)读取、添加、删除了哪些注册表项

(4)读取、添加、删除了哪些文件

(5)连接了哪些外部IP,传输了什么数据(抓包分析)

1、使用VirusTotal分析恶意软件

将后门程序丢到VirusTotal中进行分析,并得到SHA-1、MD5摘要值、文件类型、大小、TRiD文件类型识别结果和算法库支持情况

2、使用Process Monitor分析恶意软件

先反弹连接kali,并且得到进程号10892

发现有很多记录,找出需要的很不容易得到结果

3、使用Process Explorer分析恶意软件

4、使用PEiD分析恶意软件

加壳:

不加壳:

5、使用systracer分析恶意软件

正常运行和成功回连

通过compare发现注册表里出现了改动

查看后门软件的“opened handles”来对比

Wireshark进行抓包分析

其先进行了TCP的三次握手,之后再进行数据的传输,如图所示,带有PSH,ACK的包传送的便是执行相关操作指令时所传输的数据包。

问题

在安装system monitor时,在按照博客编写配置文件开始执行安装后,需要把3.10改成4.20,在抓包的时候 ,我首先监听的是计算机所连接的wifi,监听了一段时间后没有发现我主机跟kali之间的数据传输,于是我重新选择虚拟网卡进行监听,抓到了两个互相通信所产生的包。

实验感想

在此次实验中,我使用了许多恶意代码分析软件,从网络连接和端口、系统注册表变化等多方面的监控,然后具体定位到某一个或某一些进程后进入深入分析。有时候杀软并不可靠,有一些我们没有发现的东西在计算机深层运行,这些就需要我们分析各种信息从而找到问题所在。

转载于:https://www.cnblogs.com/dzy9/p/10665875.html

Exp4 恶意代码分析 20164323段钊阳相关推荐

  1. 2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析

    2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析 一.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中生成后门软 ...

  2. Exp4 恶意代码分析 20164303 景圣

    Exp4 恶意代码分析 实验内容 实验点一:系统运行监控 (1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件,综述一下分析结果.目标就是找出 ...

  3. 2018-2019-2 网络对抗技术 20165227 Exp4 恶意代码分析

    2018-2019-2 网络对抗技术 20165227 Exp4 恶意代码分析 实验步骤: 使用的设备:Win7(虚拟机).kali(虚拟机) 实验一:使用如计划任务,每隔一分钟记录自己的电脑有哪些程 ...

  4. 20155301 Exp4 恶意代码分析

    20155301 Exp4 恶意代码分析 实践目标 (1) 是监控你自己系统的运行状态,看有没有可疑的程序在运行. (2) 是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用 ...

  5. 2018-2019-2 20165118 《网络对抗技术》Exp4 恶意代码分析

    2018-2019-2 20165118 <网络对抗技术>Exp4 恶意代码分析 一.实验目标: 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就 ...

  6. 网络对抗 Exp4 恶意代码分析 20154311 王卓然

    Exp4 恶意代码分析 一.实践目标 1.监控自己系统的运行状态,看有没有可疑的程序在运行. 2.分析一个恶意软件,分析Exp2或Exp3中生成后门软件. 二.实践步骤 1.系统运行监控 使用 net ...

  7. 20155318 《网络攻防》Exp4 恶意代码分析

    20155318 <网络攻防>Exp4 恶意代码分析 基础问题 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什 ...

  8. 20194311姜晨昊Exp-4 恶意代码分析

    目录 20194311姜晨昊Exp-4 恶意代码分析 一.实践目标 二.实践内容 2.1 系统运行监控--任务计划 2.1.1 写好脚本(命令行语句)netcontrol4311.bat,再新建一个t ...

  9. 20164301 Exp4 恶意代码分析

    Exp4 恶意代码分析 实验目标 1.是监控你自己系统的运行状态,看有没有可疑的程序在运行.  2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinte ...

最新文章

  1. 创建、添加字段IFields
  2. Hadoop RPC protocol description--转
  3. 为什么375×667是移动端原型设计的最佳分辨率:flutter 设计稿尺寸最好也是375×667...
  4. Codis集群的搭建与使用
  5. tkinter frame背景色_Tkinter教程-基础组件(三)
  6. Javascript设计模式与开发实践读书笔记(1-3章)
  7. 使用caffemodel模型(由mnist训练)测试单张手写数字样本
  8. 计算机网络自上而下影印版_《计算机网络(影印版)》 影印 【正版电子纸书阅读_PDF下载】- 书问...
  9. 【原创】ObjectARX中的代理对象
  10. lftp mirror 上传目录
  11. 使用一个虚拟环境,但是运用其他环境中的库!【pycharm】
  12. 自动生成 Makefile 的全过程详解! automake/autoconf 入门
  13. 32、剑指offer--把数组排成最小的数
  14. foobar2000在线标签服务器,不再烦恼 小烧友手把手教你设置 Foobar2000界面
  15. 目标追踪(一)环境搭建
  16. Linux下载HTTP文件
  17. 永磁同步电机PMSM启动Simulink建模与仿真
  18. 湖南农业大学计算机考试试题,湖南农业大学机械CADCAM考试复习题
  19. 快速批量查询快递物流数据的工具,51Tracking可同时多种快递物流信息跟踪查件
  20. 迈阿密大学计算机学科排名,迈阿密大学计算机科学(论文)专业介绍_计算机科学(论文)专业排名及就业方向和前景-小站留学...

热门文章

  1. html图片自适应裁剪,html 图片裁剪 图片固定高度 图片自适应。图片完美适配
  2. 23种设计模式-多例模式《柒个我》
  3. win10更新后wifi提示无法连接到该网络,终极解决方法
  4. python信号处理加汉明窗_SciPyTutorial-非整周期信号加窗
  5. Java基础知识(十) 多线程
  6. 利用计算机技术全面规划供应,英语翻译《物流术语》国家标准对供应链管理的定义:利用计算机网络技术全面规划供应链中的商流、物流、信息流、资金流等,并进行...
  7. 清华大学交叉信息研究院姚班修改培养模式:姚班、智班、量信班全合并
  8. Cylinder Candy(zoj 3866 旋转体体积和表面积)
  9. 网站SEO其实很简单,新手必看!!!
  10. 【学习笔记】人工智能相关概念