实验二——病毒行为监控--搭建反病毒实验室

【实验目的】
1、搭建虚拟机，设置安全的病毒运行环境
2、了解监控病毒行为的常用工具
3、掌握病毒行为监控软件的使用方法
4、使用病毒行为监控软件捕获病毒行为
【实验原理】
为达到其目的，计算机病毒会对操作系统做一些改动，这种改动体现为对文件、进程、注册表和网络等进行操作。监控病毒的这些行为是快速分析病毒的捷径。

【实验内容】
1、搭建病毒分析实验室
（一）启动计算机-进入第四个操作系统-打开VMWare-选择windows虚拟机
（二）虚拟机设置（自己的电脑上必须设置）
（1）真实机：设置受限文件夹（受限文件夹内的可执行文件是不能运行的）
a)运行-gpedit.msc

b)依次选择“计算机配置”“windows设置”“安全设置”“软件限制策略”“其他规则”。若没有“其他规则”，如下操作新建软件限制策略：

c)否则：在“其他规则”处，单击鼠标右键，选择“新路径规则”，做如下操作右键新建路径规则：

d)重启计算机

（2）设置共享文件夹：
a)虚拟机中依次选择：虚拟机-设置-选项-共享文件夹

b)在虚拟机中查看共享文件夹：
“我的电脑”-“单击鼠标右键”-“映射网络驱动器”

（3）虚拟机断网：
a)“本地连接”—禁用

（三）运行keylogger.exe
（1）设置文件夹选项：显示所有文件和文件夹

（2）病毒运行前观察：
a)是否存在隐藏文件夹：
C:\WINDOWS\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]
b)是否存在文件：
C:\WINDOWS\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB
4]\ debugsrv.exe
C:\WINDOWS\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB
4]\debugsrv.exe_bug.log
不存在隐藏文件夹和文件

c)是否启动进程：debugsrv.exe

没有启动进程

d)查看注册表：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
是否存在键值：MSWDebugServer
*

不存在键值：MSWDebugServer

（3）病毒运行后观察：（确认：虚拟机未连接移动设备、断网）
a)病毒运行后，操作系统有异常吗？
b)观察文件、进程、注册表项等：
1）文件：
C:\WINDOWS\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]\ debugsrv.exe
C:\WINDOWS\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]\debugsrv.exe_bug.log

出现了之前没有的隐藏文件：

2）进程：
C:\WINDOWS\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]\debugsrv.exe

出现了之前没有的进程

3）注册表项：（观察MSWDebugServer的值）
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run——MSWDebugServer

出现了之前没有的注册表项

（4）恢复快照：病毒分析实验室

（四）安装监控软件
（一）将FileMon（文件监控）、RegMon（注册表监控）、Process Explorer（进程监控）、TCPView（网络监控）和IceSword（病毒辅助分析工具）复制到虚拟机中，依次点击运行。
a)了解FileMon，RegMon的输出界面：
第一项”#”表示文件操作记录的行号；
第二项“Time”，操作发生的时间，可以切换；
第三项“Process”进行文件操作的进程名，很重要；
第四项“Request”文件操作的方式：
FileMon：关注值为Create、Open、Write、Delete的项
RegMon：关注值为DeleteValueKey,SetValue的项
第七项“Other”文件操作的相关信息，文件的长度属性等信息。

b)FileMon和RegMon的快捷按钮
1）：是否进行文件监控
2) ：是否禁止自动滚动
3) ：监控前清空屏幕记录
4) ：设置过滤规则
5) 字体修改：Option-Font（选项-字体）

c)FileMon和RegMon的过滤设置

“Filter”按钮可以设置并查看过滤项规则
新建过滤规则：
1.添加不需要监控的进程，Vmware相关进程，ctfmon.exe; TPAutoconnect.exe; Lsass.exe; FileMon.exe; Regmon.exe; tcpview.exe; procexp.exe; vmtoolsd.exe; System等。
Explore.exe和iexplore.exe会被病毒利用，不要过滤。
2.设置日志监控方式：选择“日志写入”“日志成功”

3.也可以在输出界面选择该进程，单机鼠标右键选择 Exclude Process。

d)Processes Explorer设置
注意输出窗口进程颜色。绿色表示新建进程，红色表示将要结束的进程，粉色表示服务进程。

单击进程项字段，可以按照升序、降序和分支（父子关系）三种方式显示进程。
可替换任务管理器：Options-replace task manager
注：TCPView和Procexp放在前端，FileMon和RegMon放在后端

e)IceSword:基于内核的查杀工具

1)可查出所有隐藏进程
2)可同时结束多个进程
同时结束多个进程，可解决病毒进程间可相互启动的问题
3)查看模块信息：查看进程加载的模块信息

（2）拍摄快照，命名为：病毒分析实验室

（二）观察keylogger.exe病毒行为，记录监控软件所观察到Keylogger对文件、注册表和进程的修改。

（5）病毒行为：keylogger.exe
（1）通过监控软件观察病毒行为
a)恢复虚拟机快照：“病毒分析实验”快照
b)依次运行FileMon、RegMon、Process Explorer、TCPView、IceSword
i.设置FileMon、RegMon过滤规则：
添加不需要监控的进程：
ctfmon.exe;TPAutoconnect.exe;Lsass.exe;FileMon.exe;Regmon.exe;tcpview.exe;procexp.exe;vmtoolsd.exe;System等。
Explore.exe和iexplore.exe会被病毒利用，不要过滤。
设置日志监控方式：选择“日志写入”“日志成功”

C）
ii.设置Process Explorer：
单击进程项字段，按照分支（父子关系）方式显示进程
iii.打开IceSword：
观察启动组模块，监视进线程创建模块

c)运行病毒程序：观察监控软件记录的变化。
d)恢复快照：病毒分析实验室
（1）在File Monitor中debugsrv.exe和server.exe启动了多个进程：

（2）在Registry Monitor中有大量的Explore.exe可以被病毒利用：

（3）在Process Explorer中病毒程序的进程显示为紫色，代表自有进程，它伪装成了系统进程：

（4）但不知到为什么我在TCPView中没有查看到病毒进程，讲道理这是查看端口和线程的，只要病毒在内存中运行，一定会打开某个端口，但不知到为什么没有：

（5）在兵刃中病毒文件由注册表项创建了一个模块。

(三)回答问题
思考：
病毒为何长期存在并难以察觉？

因为它在系统盘C:\windows下新建了一个隐藏文件夹，一般人不把文件夹中的显示隐藏文件夹选项打开的话，很难发现隐藏文件夹下的病毒文件；另一方面，大部分的系统配置文件也都是默认设置为隐藏文件，在系统盘C：下，有很多这样的隐藏文件夹和文件，如果不知道病毒的具体路径，找病毒文件无异于大海捞针。

keylogger.exe如何实现自启动？

通过修改注册表：在系统自启动文件路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下，新建了键值：MSWDebugServer，在开机系统文件启动时，病毒文件也就跟着启动了。

有没有其他的自启动方法？

还有windows中其他的自启动项：一、两个文件夹（1）系统分区（一般为C盘）的 Documents and
Settings\用户名\「开始」菜单\Programs\Startup （启动）目录（2）C:/Documents and
Settings\AllUsers\「开始」菜单\Programs\Startup （启动）二、十一个注册表子键（1）Load
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows\load （2）Userinit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit （3）Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
对当前用户生效
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
对所有用户生效（4）RunServicesOnce 用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册表键启动的程序
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

（5）RunServices RunServices 子键也是在用户登录前及其他注册表自启动程序加载前面加载
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
（6）RunOnce\Setup RunOnce\Setup 指定了用户登录之后运行的程序
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup （7）Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

（8）windows中加载的服务这里加载的服务具有最高的优先级
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
这里面的Start键的值确定了服务的启动状态：2表示自动运行，3表示手动运行，4表示禁止（9）Windows Shell Windows
Shell 位于HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon下面的Shell字符串类型键值中，默认值为Explorer.exe
（10）BootExecute——属于启动执行的一个项目
系统通过它来实现启动Native程序，Native程序在驱动程序和系统核心加载后将被加载，此时会话管理器（smss.exe）进行Windows
NT用户模式并开始顺序启动Native程序。它位于注册表中
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\Session Manager
下，有一个BootExecute键，用于系统启动时的某些自动检查。这个启动项里的程序是在系统图形界面完成前就被执行的，具有很高的优先级。
（11）组策略加载程序
在“运行”对话框输入“Gpedit.msc”打开组策略，展开“用户配置”->“管理模板”->“系统”->“登录”，就可以看到用户设置的登录时运行的项目。另外在注册表中
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\GroupPolicy
Objects\本地User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
也可以看到相对应的键值。

时常关注以上启动项，对自己的电脑安全负责。

2、观察病毒行为：Server.exe
确认虚拟机处于“病毒分析实验”快照状态（虚拟机未连接移动设备、断网）
（1）观察病毒的运行程序是哪个文件，该文件存放的绝对路径？（Filemo.exe、Process Explorer—Procexp.exe）

病毒的运行程序是debugsrv.exe，该文件存放的绝对路径C:\WINDOWS\r_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]\debugsrv.exe。

（2）病毒运行后，启动了哪些进程？（Process Explorer—Procexp.exe）

启动了Explorer.exe，debugsrv.exe

（3）病毒如何实现自启动？（IceSword.exe）

通过修改注册表：在系统自启动文件路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下，新建了键值：MSWDebugServer，在开机系统文件启动时，病毒文件也就跟着启动了。

（4）病毒的键记录写入哪个文件中？（Filemo.exe）

写进了C:\DOCUME1\ADMINI1\LOCALS~1\Temp

思考：server.exe病毒对操作系统有哪些方面的影响？

改变了自启动项，占用系统进程资源，启动某些系统进程 server.exe病毒如何对操作系统实施影响？
修改注册表，利用Explore.exe和iexplore.exe进程，实现自启动。

实验二——病毒行为监控--搭建反病毒实验室相关推荐

病毒分析与防护实验2—— 搭建反病毒实验室
实验环境 VMware workstation pro Windows 2003 虚拟机 PS:作为一个用win10折腾了一天本实验的人,在这里和所有和我一样使用win10的铁头娃提个醒,尽量不要用w ...
Unity_实验二_游戏场景搭建
实验二游戏场景搭建实验目的: 掌握游戏场景搭建. 实验要求: 能够使用Unity的地形引擎创建地形,熟悉场景中的光照与阴影,掌握天空盒和雾化效果等. 实验内容: 地形的绘制:使用高度图绘制:使用笔 ...
Petya勒索病毒爆发，腾讯安全反病毒实验室首发技术分析
本文讲的是Petya勒索病毒爆发,腾讯安全反病毒实验室首发技术分析,据twitter爆料,乌克兰政府机构遭大规模攻击,其中乌克兰副总理的电脑均遭受攻击,目前腾讯电脑管家已经确认该病毒为Petya勒索病 ...
高校如何搭建虚拟实验室？如何通过数据手套模拟实验教学？
虚拟实验室是由虚拟现实技术生成的一类适于进行虚拟实验的实验系统,包括相应实验室环境.有关的实验仪器设备.实验对象以及实验信息资源等.在虚拟实验室中,学生能够在计算机建立的三维的模拟实验场景中从不同的视 ...
实验二软件开发环境搭建与 GPIO应用
实验二软件开发环境搭建与 GPIO应用相关电路代码文件下载:https://wwe.lanzouw.com/ioorOyxic0h 目录实验二软件开发环境搭建与 GPIO应用一．实验目的二 ...
阿里云ACA课程之在线实验二
阿里云ACA课程之在线实验二使用OSS API上传和下载文件查看OSS环境调用OSS API上传小文件调用OSS API下载小文件调用OSS API删除Object 负载均衡使用初体验分别 ...
NSA监控全球反病毒厂商英美除外
本文讲的是 NSA监控全球反病毒厂商英美除外,自由斯诺登网(Edwardsnowden.com)最新披露了一份美国NSA内部文件<An Easy Win:Using SIGINT to Lea ...
删除计算机系学生的选课记录6,天津理工大学+数据库实验二.doc
文档介绍: 实验报告学院(系)名称:计算机与通信工程学院姓名Touchkiss学号20125577专业计算机科学与技术班级2班实验项目实验二:复杂SQL数据操作课程名称数据库系统课程代码0668026 ...
python程序设计报告-20194115 实验二《Python程序设计》实验报告
# 20194115 2019-2020-2 <Python程序设计>实验二报告课程:<Python程序设计> 班级: 1941 姓名: 刘奕辉学号:20194115 实验 ...
网络对抗技术_实验二_网络嗅探与欺骗
中国人民公安大学 Chinese people' public security university 网络对抗技术实验报告实验二网络嗅探与欺骗学生姓名岳庆伟年级 2014级 ...

实验二——病毒行为监控--搭建反病毒实验室

实验二——病毒行为监控--搭建反病毒实验室相关推荐

最新文章

热门文章