网络对抗 Exp4 恶意代码分析 20154311 王卓然
Exp4 恶意代码分析
一、实践目标
1.监控自己系统的运行状态,看有没有可疑的程序在运行。
2.分析一个恶意软件,分析Exp2或Exp3中生成后门软件。
二、实践步骤
1.系统运行监控
使用 netstat 定时监控
首先创建一个txt文件,用来将记录的联网结果按格式输出到netstatlog.txt
文件中,内容为:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
更改后缀名为bat(批处理文件),右键开始菜单打开命令提示符(管理员模式,不然权限不够)输入指令 schtasks /create /TN 20154311(任务名) /sc MINUTE /MO 2 /TR "c:\20154311.bat(上面创建的文件) 创建间隔2分钟的计划任务。
(或者在控制面板版—计划任务中创建一个触发器为”按预定计划“,重复间隔自己设定,操作中程序选中上面创建的文件的定时任务)。
过一段时间等收集到足够多的数据后,创建一个excel在数据选项卡中选择导入数据,选中保存的netstatlog.txt文件,设置使用 分隔符号 ,并勾选全部分隔符号。
单击数据透视表,选中进程那一列,创建到新的工作表中,把字段拉到行和值中,选为计数,就得到各进程的活动数了(注意把不需要统计的行勾掉)。
我们可以转化为柱状图,更为直观简洁
没有可以进程,我的电脑还是挺安全的(et.exe是wps表格进程)。
再看看外部网络连接
相比进程多了好多,应该是浏览器浏览不同地址造成的。
使用 sysmon 工具监控
首先配置sysmon,创建一个txt文件,输入配置信息,可根据个人需求增添删改。
管理员模式运行cmd,用cd指令转到sysmon目录,输入指令 sysmon.exe -i 20154311.txt(如果配置文件与sysmon.exe不在同一目录,需要输入配置文件的目录),跳出安装窗口后同意完成安装。
启动sysmon之后可以在 右键我的电脑——管理——事件查看器——应用程序和服务日志——Microsoft——Windows——Sysmon——Operational 查看日志文件。
找到了我自己启动自己制作的后门文件
然而从他给我提供的信息我感觉并看不出来有啥不一样的,并不知道如何判定为后门文件,就有一点它的PARENTIMAGE(源镜像?)那一栏写的是explorer.exe(程序管理和文件资源管理程序,没了他就没桌面了)和sysmon本身一样,百度了一下explorer是很多病毒喜欢伪装或感染的对象,可能我的后门程序主要就是通过explorer来达到控制的目的的吧。
添加端口号、进程创建、文件创建时间的监察,使用指令 sysmon.exe -c 20154311.txt 更新配置
除了自己的后门文件外,并没有其他的可疑进程,safe?!。
2.恶意代码分析
使用virscan分析恶意软件
在virscan网站上对上次实验中C语言调用shellcode直接编译的后门文件做行为分析
可以看到攻击方主机的部分IP及端口号,且说明了有删除注册表键和键值、检测自身是否被调试以及创建事件对象的行为。(还是可以的)。
使用SysTracer分析恶意软件
使用systracer工具建立4个快照,分别为:
snapshot#1 后门程序启动前,系统正常状态
snapshot#2 启动后门回连Linux
snapshot#3 Linux控制windows在其D盘目录下创建一个文件
snapshot#4 关掉后门,断开连接后,主机状态
先对比下1,2两种情况
把Only differences勾上,这样会只显示前后两种状态更改的内容,更方便我们查看。
可以看到打开后门后修改了以上三项注册表的内容,在应用(Application)——打开端口(Opened Ports)中能看到后门程序回连的IP和端口号。
接着对比下2,3两种情况
在原来的基础上原来的三个注册表都有修改,还多修改了一项HKEY_CLASSES_ROOT
增加了一个文件,就是我们操作创建的。
文件内容也和我们编写的一样(不过我的回车被吃了...)。
接着对比下3、4两种情况
注册表还有改动,难道是为了掩饰又改回去了?(变动太多,也看不太懂)其他的倒是没什么差别。
使用PEiD分析恶意软件
使用PEiD
软件可以查看恶意软件的壳的相关信息,以及其所使用的编译器版本,我用上次实验upx加壳生成的后门文件为样本检测。
加壳信息一目了然,好废啊~~加壳~~。
使用Process Monitor分析恶意软件
启动后会抓到非常多的进程数据,可以点出工具——进程树便利查看,多了堆栈信息,然而好像其他的具体内容不多。
不过能看出我的后门程序运行起来后确实与explorer.exe有很大的关系
在进程树中找到后门进程右键转到事件,可以在主窗口中找到程序,能直接看到回连的IP地址和端口号然而这次IP地址没显示,显示为bogon,百度了下说是不该出现在路由表中的地址,出现了则说明被攻击了或被蹭~网~了,有趣,总之有出现的话就小心点。
在进程信息中的模块里找到 advapi32.dll 百度说是包含函数与对象的安全性、注册表的操控以及与事件日志有关,还是很重要的一个dll文件,一个无关程序莫名与其挂钩,就很值得引起我们怀疑。
使用Process Explorer分析恶意软件
打开process explorer后,接着运行后门程序回连,发现我的后门程序以紫色高亮身份显示(莫不是被查出来了?!)
双击点开进程,在TCP/IP选项卡中可以看到回连的Linux的IP地址和端口。
使用TCPView工具分析恶意软件
后门运行时直接打开 tcpview 工具,可以直接找到后门进程
可以直接看到后门程序连接的IP地址及端口号。
三、实验后问题回答
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
答:①可以通过设置定时计划任务,使用 netstat 指令将主机中的网络连接活动迹象都记录下来,逐一筛选
②可以使用sysmon工具,有选择的编写配置文件,将主机中各个进程的活动记录下来,能更加省时省力。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
答:①可以使用systracer工具,对比进程运行前后,系统中的变化情况,从而得知它的行为活动信息。
②可以使用process explorer工具,查看该进程的网络连接情况,以及线程、执行等信息。
四、实验心得与体会
这次实验主要是需要学会看懂各个监控,分析工具中数据的代表意义,才能有效的分析和判断出是否为恶意程序,工具的使用本身倒不难,然而这些数据却也偏偏就是最大的难题,需要我们多查多理解,当然同时也对我们大有裨益。
转载于:https://www.cnblogs.com/20154311wzr/p/8796466.html
网络对抗 Exp4 恶意代码分析 20154311 王卓然相关推荐
- 20145120黄玄曦《网络对抗》恶意代码分析
20145120黄玄曦<网络对抗>恶意代码分析 Windows计划任务schtasks 在命令提示符输入schtasks /create /TN netstat /sc MINUTE /M ...
- 20145217《网络对抗》 恶意代码分析
20145217<网络对抗> 免杀原理与实践 知识点学习总结 进行恶意代码分析之前必须具备以下知识:编程.汇编/反汇编.网络基本知识.PE文件结构以及一些常用行为分析软件. 一.在一个已经 ...
- 20145201李子璇 《网络对抗》恶意代码分析
报告内容 1.实验后回答问题 (1)总结一下监控一个系统通常需要监控什么.用什么来监控. 注册表信息的增添修改删除. 用来进行网络连接的IP地址端口号. 程序的一系列行为 可以使用wireshark抓 ...
- Exp4 恶意代码分析 20164302 王一帆
1.实践目标 1.1监控自己系统的运行状态,看有没有可疑的程序在运行. 1.2分析一个恶意软件,就分析Exp2或Exp3中生成后门软件:分析工具尽量使用原生指令或sysinternals,systra ...
- 网络对抗 Exp9 Web安全基础 20154311 王卓然
Exp9 Web安全基础 1. 实验内容 理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 2.实验步骤 WebGoat WebGoat是OWASP组织研制出的用于进行web漏洞实验的应 ...
- 网络对抗 Exp5 MSF基础应用 20154311 王卓然
Exp5 MSF基础应用 1. 实验内容 本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路.具体需要完成: 1.1一个主动攻击实践,如ms08_067: 1.2 一个针 ...
- 2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析
2018-2019-2 网络对抗技术 20165320 Exp4 恶意代码分析 一.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行 分析一个恶意软件,就分析Exp2或Exp3中生成后门软 ...
- 20155317《网络对抗》Exp4 恶意代码分析
20155317<网络对抗>Exp4 恶意代码分析 基础问题回答 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么.请设计下你想监控的操作有哪些,用 ...
- 20155320《网络对抗》Exp4 恶意代码分析
20155320<网络对抗>Exp4 恶意代码分析 [系统运行监控] 使用schtasks指令监控系统运行 首先在C盘目录下建立一个netstatlog.bat文件(由于是系统盘,所以从别 ...
最新文章
- [JavaME]手机申请移动分配的动态IP(3)?
- Facebook为其全球75%的用户推出反模仿工具
- nagios学习笔记(一)
- php 数组的处理,php 数组处理
- java switch命令_Java switch-case语句用法
- api 微信小程序组件库colorui_微信小程序入门ColorUI组件库使用方法
- Dynamic 365 中创建编码规则
- 积分基础-如何积分运动方程
- 【Excel】Excel条件格式设置背景色
- linux为360路由器刷机,[详细]360路由器刷openwrt、不死uboot、双系统 、wifi中继
- 《计算机工程》期刊投稿经验分享
- HTML5期末大作业:基于HTML+CSS+JavaScript实现中国风文化传媒企业官网源码
- 【文智背后的奥秘】系列篇——情感分类
- win10系统如何打开.swf视频文件,flash palyer无法使用
- Java8 LocalDateTime 获取当前日周月年的起止时间
- SQL Server2019配置管理器无法连接到 WMI 提供程序
- 电脑和打印机怎么连接
- surface pro3深度linux,surface pro4 安装deepin教程
- 解决小新13pro2020连接4k60hz显示器后,出现卡顿,查看刷新率只有30hz的问题
- php7.phar pocketmine_一位小学生建立一个服务器(MC服务器)的路程-Minecraft篇