热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

Exp4恶意代码分析20154328常城

Exp4恶意代码分析一、实践内容1.系统运行监控使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是

Exp4 恶意代码分析

一、实践内容

1. 系统运行监控
  • 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。
  • 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

    2. 恶意软件分析
  • 分析软件在启动回连时
  • 分析软件安装到目标机时
  • 分析软件的其任意操作

    二、基础问题

  1. 如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

    答:个恶意代码最终是要进行数据传输的,一旦进行了网络数据的传输,那么一定会留下日志。这些日志,是可以被我们所监视到。
    可以先使用sysmono,进行网络数据传输的监控,发现有问题的传输数据。可以使用wireshark抓包分析,分析网络连接状态;查看软件注册表信息;使用SysTracer等软件查看一段时间内系统注册表信息文件标化情况,将这些信息录入excel分析。
  2. 如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
    答:systracer可以用来做行为的差异分析动态分析注册表修改情况,分析原因,这样做的目的,查看文件修改情况和端口情况并分析原因;peid可以用来看这个软件是否加壳等;procmon和processexplore都可以用来分析这个软件的内容、连接等等

    三、实验过程

    ##### 1. 系统运行监控

    Windows计划任务schtasks
  • 为实现每2min记录下有哪些程序在连接网络,输入以下命令:

schtasks /create /TN 20154328netstat /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

  • 释义:TN是TaskName的缩写,我们创建的计划任务名是20154301netstat;sc表示计时方式,我们以分钟计时填MINUTE;TR=Task Run,要运行的指令是 netstat -bn,b表示显示可执行文件名,n表示以数字来显示IP和端口,MO 表示隔两分钟进行一次。
    技术分享图片

  • 此命令完成后,每五分钟就会监测哪些程序在使用网络,并把结果记录在netstatlog.txt文档里,但是不显示记录的时间和日期,这可能不便于我们判断,要是想显示日期和时间,我们可以通过bat批处理文件来实现。
  • 在C盘要目录下建一个文件c:\netstatlog.bat(先把后缀设为txt,保存好内容后把后缀改为bat)

技术分享图片

  • 打开控制面板->任务计划程序,找到我们的任务20154328netstat
    技术分享图片

  • 双击点开,找到操作,点击所有项里的属性选项:

  • 可以对任务进行修改:找到操作选项卡,选择netstatlog.bat脚本。

  • 修改成功后,显示:

技术分享图片

  • 可以看到记录文件netstatlog.txt中的记录有了时间:
    技术分享图片

  • 接下来我们要做的就是等待,等记录项目够多了再进行分析。
    技术分享图片

Sysmon
  • 明确监控目标

网络连接、驱动加载、远程线程创建、进程创建、访问和结束等

  • sysmon 微软Sysinternals套件中的一个工具,可以从码云项目的附件里进行下载,要使用sysmon工具先要配置文件,一开始我直接用的是老师给的配置文件,创建配置文件20154328.txt(注:一定要以管理员身份运行):
    技术分享图片

技术分享图片

  • 配置好文件之后,要先使用Sysmon.exe -i C:\Sysmoncfg.txt指令对sysmon进行安装:
    技术分享图片

  • 启动之后,便可以到事件查看器里查看相应的日志,在"运行"窗口输入eventvwr命令,打开应用程序和服务日志,根据Microsoft->Windows->Sysmon->Operational路径找到记录文件:
    技术分享图片

  • 将后门程序放入windows主机,在Kali下进行回连操作:
    技术分享图片

  • 木马很可能伪装成电脑自带的explorer.exe进程

  • 之后,我对Sysmoncfg.txt配置文件进行了修改,重点是监视80和443以及4328端口的联网情况
    技术分享图片

  • 4328端口
    技术分享图片

使用在线沙盘分析恶意软件

  • 由于哈勃关闭了普通用户进行行为分析,virscan也调用不了,这里我们使用两个国外的在线沙盘进行分析。

    Threat Expert:
  • 报告可以看到其启动回连主机的部分IP地址以及端口号
    技术分享图片

VirusTotal
  • 报告分析出了一堆英文,都看不懂(>_<)
    技术分享图片
    技术分享图片

使用systracer工具分析恶意软件

  • 点击take snapshot来快照,四个快照:1.恶意软件启动回连时;2.恶意软件执行dir命令进行查看时;3.恶意软件进行截屏操作时;4.将恶意软件植入到目标主机中后。
    技术分享图片

  • 比较1、4,我们可以看到很多信息,包括IP及端口

技术分享图片
技术分享图片
技术分享图片

联网情况分析

  • 在后门程序回连时,在主机的命令行中用netstat -n命令查看TCP连接的情况,可以发现其中有进行回连的后门程序:
  • 回连时建立tcp连接
    技术分享图片

  • 在后门程序回连时,打开wireshark,进行捕包分析,查看详细的协议分析发现,后门程序建立了三次握手并回连时进行了基于IP和端口的连接
    技术分享图片

Process Monitor

  • 打开Process Monitor就可以就看到按时间排序的winxp执行的程序的变化,运行一下后门程序4328.exe,再刷新一下Process Monitor的界面,可以指定查找到程序。
    技术分享图片

PEiD

  • PEiD是一个常用的的查壳工具,可以分析后门程序是否加了壳。

  • 加壳
    技术分享图片

  • 不加壳
    技术分享图片

Process Explorer

  • 打开Process Explorer,运行后门程序fool20154328.exe,在Process栏可以找到fool20154328.exe
    技术分享图片

  • 双击后门程序4328.exe一行,点击不同的页标签可以查看不同的信息:
  • TCP/IP页签有程序的连接方式、回连IP、端口等信息。
    技术分享图片
    技术分享图片

  • Performance页签有程序的CPU、I/O、Handles等相关信息。
    技术分享图片

实验心得体会

  • 总的来说这次实验所使用的很多工具都是以前没有见过没有听过的软件。而且很多都是全英文的,对于英语不好的自己来说是一个很大的挑战。在实验的过程中只能边百度这些软件的使用方法,然后结合学长学姐以及班里先做出来的同学的实验报告来一步一步的做 。
  • 以前的实验是我们来对目标计算机进行攻击,这次我们扮演防御者。通过各种各样的软件来分析恶意软件。
  • 通过前几次实验,以及这次实验,我们发现很多的时候单纯的杀毒软件已经不能对恶意的软件进行查杀,只有在病毒库的软件它才可以识别出来。这就要求我们将本次实验的指示结合起来,利用工具对系统进行监控查杀。查看是否存在恶意代码。

Exp4 恶意代码分析 20154328 常城


推荐阅读
  • QUIC协议:快速UDP互联网连接
    QUIC(Quick UDP Internet Connections)是谷歌开发的一种旨在提高网络性能和安全性的传输层协议。它基于UDP,并结合了TLS级别的安全性,提供了更高效、更可靠的互联网通信方式。 ... [详细]
  • 深入理解OAuth认证机制
    本文介绍了OAuth认证协议的核心概念及其工作原理。OAuth是一种开放标准,旨在为第三方应用提供安全的用户资源访问授权,同时确保用户的账户信息(如用户名和密码)不会暴露给第三方。 ... [详细]
  • CSS 布局:液态三栏混合宽度布局
    本文介绍了如何使用 CSS 实现液态的三栏布局,其中各栏具有不同的宽度设置。通过调整容器和内容区域的属性,可以实现灵活且响应式的网页设计。 ... [详细]
  • 本文介绍了一款用于自动化部署 Linux 服务的 Bash 脚本。该脚本不仅涵盖了基本的文件复制和目录创建,还处理了系统服务的配置和启动,确保在多种 Linux 发行版上都能顺利运行。 ... [详细]
  • 在Linux系统中配置并启动ActiveMQ
    本文详细介绍了如何在Linux环境中安装和配置ActiveMQ,包括端口开放及防火墙设置。通过本文,您可以掌握完整的ActiveMQ部署流程,确保其在网络环境中正常运行。 ... [详细]
  • Vue 2 中解决页面刷新和按钮跳转导致导航栏样式失效的问题
    本文介绍了如何通过配置路由的 meta 字段,确保 Vue 2 项目中的导航栏在页面刷新或内部按钮跳转时,始终保持正确的 active 样式。具体实现方法包括设置路由的 meta 属性,并在 HTML 模板中动态绑定类名。 ... [详细]
  • 本文探讨了如何通过最小生成树(MST)来计算严格次小生成树。在处理过程中,需特别注意所有边权重相等的情况,以避免错误。我们首先构建最小生成树,然后枚举每条非树边,检查其是否能形成更优的次小生成树。 ... [详细]
  • 2023 ARM嵌入式系统全国技术巡讲旨在分享ARM公司在半导体知识产权(IP)领域的最新进展。作为全球领先的IP提供商,ARM在嵌入式处理器市场占据主导地位,其产品广泛应用于90%以上的嵌入式设备中。此次巡讲将邀请来自ARM、飞思卡尔以及华清远见教育集团的行业专家,共同探讨当前嵌入式系统的前沿技术和应用。 ... [详细]
  • 国内BI工具迎战国际巨头Tableau,稳步崛起
    尽管商业智能(BI)工具在中国的普及程度尚不及国际市场,但近年来,随着本土企业的持续创新和市场推广,国内主流BI工具正逐渐崭露头角。面对国际品牌如Tableau的强大竞争,国内BI工具通过不断优化产品和技术,赢得了越来越多用户的认可。 ... [详细]
  • 深入理解 Oracle 存储函数:计算员工年收入
    本文介绍如何使用 Oracle 存储函数查询特定员工的年收入。我们将详细解释存储函数的创建过程,并提供完整的代码示例。 ... [详细]
  • Linux 系统启动故障排除指南:MBR 和 GRUB 问题
    本文详细介绍了 Linux 系统启动过程中常见的 MBR 扇区和 GRUB 引导程序故障及其解决方案,涵盖从备份、模拟故障到恢复的具体步骤。 ... [详细]
  • 本文介绍如何在 Xcode 中使用快捷键和菜单命令对多行代码进行缩进,包括右缩进和左缩进的具体操作方法。 ... [详细]
  • 理解存储器的层次结构有助于程序员优化程序性能,通过合理安排数据在不同层级的存储位置,提升CPU的数据访问速度。本文详细探讨了静态随机访问存储器(SRAM)和动态随机访问存储器(DRAM)的工作原理及其应用场景,并介绍了存储器模块中的数据存取过程及局部性原理。 ... [详细]
  • 几何画板展示电场线与等势面的交互关系
    几何画板是一款功能强大的物理教学软件,具备丰富的绘图和度量工具。它不仅能够模拟物理实验过程,还能通过定量分析揭示物理现象背后的规律,尤其适用于难以在实际实验中展示的内容。本文将介绍如何使用几何画板演示电场线与等势面之间的关系。 ... [详细]
  • 本文介绍如何通过Windows批处理脚本定期检查并重启Java应用程序,确保其持续稳定运行。脚本每30分钟检查一次,并在需要时重启Java程序。同时,它会将任务结果发送到Redis。 ... [详细]
author-avatar
rachel_wxh_614
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有