2018-2019-2 20165209 《网络对抗技术》Exp4:恶意代码分析
2018-2019-2 20165209 《网络对抗技术》Exp4:恶意代码分析
1 基础问题回答和实验内容
1.1基础问题回答
如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 使用schtasks,设置一个计划任务,每隔一定的时间对主机的联网记录等进行记录。
- 使用Sysmon软件,通过快照查看运行情况,记录相关的日志文件并对比。
- 使用Process Explorer软件,监视进程占用资源、连接方式、进程当前的权限。
如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
- 使用systracer软件,通过快照查看运行情况,查看恶意软件对系统进行了哪些非授权操作,修改了哪些注册表的数据。
- 使用Process Explorer 查看其连接方式、目的IP、在本地的位置。
1.2 实验内容
系统运行监控
恶意软件分析
2 实验步骤
2.1 系统运行监控
- 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
在C盘下新建一个 netstatlog.bat 和 netstatlog.txt。当执行 netstatlog.bat 时,即可将记录的联网结果格式化输出到 netstatlog.txt 中。(如果C盘不能创建,可以在其他地方建完移动到C盘)
- 右键 netstatlog.bat 选择编辑,输入
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
- 在命令行输入
schtasks /create /TN 20165209netstat /sc MINUTE /MO 2 /TR "c:\netstatlog.bat"
创建一个每隔两分钟记录计算机联网情况的任务。 打开 netstatlog.txt 文件,查看联网进程。
- 用excel分析netstatlog.txt中的数据。
- 导入文本数据:新建excel文件->数据->获取外部数据->自文本
- 对数据进行统计学分析,生成统计图。
- 其中 [nvcontainer.exe] 和 [SkypeApp.exe]是我不知道的而且运行很频繁,我就查了一下资料。(推荐大家一个查询的网站 https://www.file.net/process/skypeapp.exe.html ,是查询windows的一些进程的功能的而且会有详细的解释,但是是英文版的,我是google翻译的)
[Nvcontainer.exe]对于Windows不是必需的,并且经常会导致问题。Nvcontainer.exe通常是存放在C:\Program Files\NVIDIA Corporation\NvContainer)。它是服务“NvContainerLocalSystem”:NVIDIA根功能的容器服务。这是Verisign签名的文件。Nvcontainer.exe不是Windows系统文件。该程序没有可见的窗口。该文件具有数字签名。该过程使用端口连接到LAN或Internet。Nvcontainer.exe能够监控应用程序。nvcontainer.exe也可能是恶意软件所伪装,或造成的一些恶意软件。因此,您应该检查PC上的nvcontainer.exe进程,看它是否是威胁。
- [nvcontainer.exe]的源IP和目的IP都是127.0.0.1,总结来说,就是它可有可无,而且还很容易被毒。
SkypeApp.exe对于Windows操作系统不是必需的,并且导致相对较少的问题。SkypeApp.exe通常是存放在“C:\Program Files \WindowsApps\Microsoft.SkypeApp_14.33.41.0_x64__kzf8qxf38zg5c。它不是Windows系统文件。该软件在开放端口上侦听或发送数据到LAN或Internet。某些恶意软件伪装成SkypeApp.exe,尤其是当它位于C:\Windows或C:\Windows \System32文件夹中时。
- [SkypeApp.exe]的源IP是192.168.1.104,目的IP是36.99.30.167,总结来说,它可有可无,可能被毒,被毒的可能性略低于上一个。(我感觉自己被毒了,于是我很快就把NVIDIA相关东西卸载了)
2.2 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
- 确定要监控的目标为驱动加载、网络连接、线程注入,并写好配置文件,exclude相当于白名单,不用记录。include相当于黑名单。(我是直接用的老师写的配置文件“20165209Sysmoncfg.txt”)
- 启动sysmon
- 输入
sysmon.exe -i C:\20165209Sysmoncfig.txt
安装sysmon(要以管理员身份运行) - 配置文件可以随时修改,修改完输入
sysmon.exe -c C:\20165209Sysmoncfg.txt
更新一下。
- 输入
- 打开 计算机管理->事件查看器->应用程序和服务日志->Microsoft->Windows->Sysmon->Operational 查看日志。
- 选择了实验二中生成的后门5209.exe进行分析。
- 运行dir时出现了 svchost.exe ,它是微软视窗操作系统里的一个系统进程,管理通过Dll文件启动服务的其它进程,一些病毒木马伪装成系统dll文件通过Svchost调用它,试图隐藏自己。
- 我还看到了一个感觉是病毒的东西,就是之前我看到的进程[SkypeApp.exe],不知道它目的是干嘛!!!
2.3 恶意软件分析
分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
(1)读取、添加、删除了哪些注册表项
(2)读取、添加、删除了哪些文件
(3)连接了哪些外部IP,传输了什么数据(抓包分析)
2.3.1 利用Systracer进行分析
- 下载安装Systracer。
- 在打开后门前先快照一下,选择->take snapshot,完成后显示Snapshop #1。
- Kali开始监听,Windows运行后门后,回连成功后拍摄快照,完成后显示Snapshop #2。
- 进行分析:
- 选择 pplications->Running Processes->5209.exe->Opened Ports,查看回连地址、远程地址和端口号。
- 选择 Compare 比对计算机发生的变化。(跟着蓝色的图标点就能找到,每个人的不一样)
- 发现后门启动后,对 对注册表 HKEY_CLASSES_ROOT->Local Settings -> Software 中的文件进行了修改,此外还 HKEY_CURRENT_USER->Software->Classes->SogoInput和SogouInput.user也进行了修改。
2.3.2 利用Process Explorer 进行分析
- Kali回连成功后打开软件,查看详细信息。参考了Process Explorer
- 选择 View->Select Columns 里面有几个选项可以帮助分析。
Image Path:显示进程的文件路径
Command Line:显示进程命令行参数
Image Type:显示进程是64位进程还是32位的
session ID:显示进程当前所在的Session ID
User Name:显示进程当前的权限,是系统用户权限还是网络管理员权限还是普通管理员权限
实验总结与体会
实验本身的操作并不难,但是对于疑似的进程进行辨别和分析还是相对不容易的。但是通过本次实验,了解了更多关于恶意代码的知识,它们模仿各种系统进程,混过杀毒软件的监控,偷偷进行非授权行为。
转载于:https://www.cnblogs.com/tutu233/p/10660595.html
2018-2019-2 20165209 《网络对抗技术》Exp4:恶意代码分析相关推荐
- 20145328 《网络对抗技术》恶意代码分析
20145328 <网络对抗技术>恶意代码分析 ------看到这句话说明还没写完-------- 实践内容: 使用schtasks指令监控系统运行 使用sysmon工具监控系统运行 使用 ...
- 20155317《网络对抗》Exp4 恶意代码分析
20155317<网络对抗>Exp4 恶意代码分析 基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用 ...
- 20155320《网络对抗》Exp4 恶意代码分析
20155320<网络对抗>Exp4 恶意代码分析 [系统运行监控] 使用schtasks指令监控系统运行 首先在C盘目录下建立一个netstatlog.bat文件(由于是系统盘,所以从别 ...
- 20145204张亚军《网络对抗技术》恶意代码分析
实验内容 schtasks.Sysmon对电脑进行系统检测,并分析. 对恶意软件进行静态分析,直接上传到网上,或者利用peid等软件. 对恶意软件进行动态分析,使用systracer,以及wiresh ...
- 20145236《网络攻防》Exp4 恶意代码分析
20145236<网络攻防>Exp4 恶意代码分析 一.基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些 ...
- 20155318 《网络攻防》Exp4 恶意代码分析
20155318 <网络攻防>Exp4 恶意代码分析 基础问题 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什 ...
- 20144306《网络对抗》MAL_恶意代码分析
一.基础问题 1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用什么方法来监控? 使用Windows自带的schtasks指 ...
- 2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析 一.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中生成后门软 ...
- 2018-2019-2 网络对抗技术 20165227 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165227 Exp4 恶意代码分析 实验步骤: 使用的设备:Win7(虚拟机).kali(虚拟机) 实验一:使用如计划任务,每隔一分钟记录自己的电脑有哪些程 ...
- 2018-2019-2 20165118 《网络对抗技术》Exp4 恶意代码分析
2018-2019-2 20165118 <网络对抗技术>Exp4 恶意代码分析 一.实验目标: 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行. 1.2是分析一个恶意软件,就 ...
最新文章
- 用OpenCV4实现图像的超分别率
- OpenCV+python:读取图片
- Intel视频处理与分析技术栈和架构纵览
- Moody Photoshop Panel for mac(ps专业色彩调色扩展面板)
- 将JavaScript和VBScript添加到您的.NET Apps
- 《并行计算的编程模型》一3.5 远程内存访问:put和get
- 自学python能干些什么副业-学会python能干嘛 学会python可以做哪些兼职?
- Java基础篇:字符串的简单介绍
- IT人见到很开心的RHEL8.6更新-尚文网络xUP楠哥
- Java向mysql导入大量scv文件数据(100万行以上)
- 【TS】GARCH模型(1)
- you need a c compiler to build uwsgi
- APP支付和H5网页支付有哪些不同?
- CCD 相机与CMOS 相机的区别在哪里?
- input正则邮箱_常用正则表达式—邮箱(Email)
- 蚁群算法(ACO)求解路径规划
- python实现购物车总结,Python实现的购物车功能示例
- 计算机房灭火器配备标准,消防灭火器配备标准是什么
- 智慧农场,51单片机上实现DS18B20与YL69土壤湿度传感器,并将两个获取的数据在LCD上显示出来
- windows系统下超级好用的欧路词典,足以秒杀有道!