首页 > 代码库 > 20145239杜文超《网络对抗技术》- 恶意代码分析

20145239杜文超《网络对抗技术》- 恶意代码分析

20145239杜文超《网络对抗技术》- 恶意代码分析

实验后回答问题

1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

(1)使用计划任务schtasks指令动态监控系统运行

(2)使用sysmon工具动态监控系统运行

2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

(1)使用systracer工具进行快照分析注册表信息、文件行为等信息的变化

(2)把程序放在virscan上检测查看行为报告

 

实验总结与体会

这次的实验我认识并学会了许多恶意代码的检测监控软件,熟悉了他们的用途和使用方法,也从前两次恶意代码的制作者的角色转变为一个防御者的角色。这使我对恶意代码的认识更加深入,对其防范和检测有了更多经验。

恶意代码静态分析

1、使用http://www.virscan.org/网站

  • 以免杀实验中实验中使用Veil-Evasion生成的test2_5239为例:

技术分享

  • 点击行为分析,查看这个恶意代码的行为。

技术分享

  • 这个代码由PACKER:UPolyX v0.5加的壳。

技术分享

  • 可以创建进程,创建文件,修改文件等等。

技术分享

技术分享

  • 可以删除注册表,创建对象。

技术分享

2、使用PEiD查壳工具分析软件

技术分享

  • 奇怪的是结果是nothing found,翻看了同学的博客发现大家的结果大同小异,查不出问题的原因可能是这可能是一个压缩壳工具。

恶意代码动态分析

1、使用计划任务schtasks

  • 建立netstatlog.bat文件netstat5239.bat(重命名时注意是把拓展文件名txt改成bat),用于记录联网内容:

date /t >> d:\netstat5239.txt

time /t >> d:\netstat5239.txt

netstat -bn >> d:\netstat5239.txt

 

  • 在命令行中输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "d:\netstat5239.bat"创建任务,每隔两分钟记录联网内容

技术分享

  • 但是要注意你用cmd创建的这个触发器可能会有权限不够的情况

技术分享 

  • 这时你可以进入控制面板、管理工具、任务计划程序库找到这个触发器,并且勾选最高权限,这样就可以了。

技术分享

  • kali回连后门后查看监控记录,发现了恶意代码的可疑行为:

技术分享

2、sysmon工具监控系统运行

  • 在Sysmon.exe目录下建立文件:20145239.xml,输入老师给出的代码
  • 管理员身份运行CMD,输入指令:Sysmon.exe -i 20145239.xml,进行安装,并配置xml:Sysmon.exe -c 20145239.xml

技术分享

技术分享

  • 设置好上述,可以进入Applications and Services Logs/Microsoft/Windows/Sysmon/Operational查看日志,需等待加载,回连并查找可疑的后门程序
  • 被我的火眼金睛发现了

技术分享

3、使用SysTracer工具分析恶意软件

1.一开始在目标主机上进行快照保存为Snapshot #1;

2.在虚拟机中生成后门软件,将文件传到目标主机后快照保存为Snapshot #2;

3.在虚拟机开启监听的情况下,在目标主机运行后门程序后快照保存为Snapshot #3;

4.在虚拟机对目标主机进行截图后在目标主机中快照保存为Snapshot #4;

5.在虚拟机获取目标主机摄像头并拍照后在目标主机快照保存为Snapshot #5.

技术分享

 

  • 对比#1和#2,发现主机上多了后门程序

 

 

技术分享

  • 对比#2、#3发现注册列表被修改了

技术分享

技术分享

  • 截图后,对比#3和#4

技术分享

  • 用摄像头拍照后,发现新增了照片,驱动列表也有变化,应该是调用了摄像头的驱动。

技术分享

技术分享

 

20145239杜文超《网络对抗技术》- 恶意代码分析