1.实践目标
1.是监控你自己系统的运行状态,看有没有可疑的程序在运行。
2.是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
3.假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
2.实践过程记录
一、系统运行监控
(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么。如果想进一步分析的,可以有针对性的抓包。
第一步:使用schtasks的命令创建计划任务netstat20164317
键入:schtasks /create /TN 20164317netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt
TN是TaskName的缩写,我们创建的计划任务名是20164317netstat;
sc表示计时方式,我们以分钟计时填MINUTE;
TR=Task Run,要运行的指令是 netstat
-bn,b表示显示可执行文件名,n表示以数字来显示IP和端口;
c:\netstatlog.txt类似于Linux中的重定向,输出将存放在C盘下的netstatlog.txt文件中
创建成功结果如下:
此命令完成后,每1分钟就会监测哪些程序在使用网络,并把结果记录在netstatlog.txt文档里,为了显示日期和时间,我们通过bat批处理文件来实现
第二步:在C盘要目录下建一个文件c:\netstatlog.bat
直接在C盘下是没法创建文件的,所以为了解决这个问题我试了几种方法:
在命令行下输入指令type nul>netstatlog.bat,结果提示拒绝访问。
在前面加个sudo结果还是提示拒绝访问。
最终解决的方法是在桌面上创建一个netstatlog.txt文件,编辑文件内容如下:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
保存后修改文件名为“netstatlog.bat”;
粘贴到C盘中,这是需要用管理员权限;
可以右键点击“编辑”用记事本查看bat文件内容。
第三步:编辑任务操作:
1.打开任务计划程序,可以看到我们新创建的这个任务:
双击这个任务,点击操作并编辑,将“程序或脚本”改为我们创建的netstatlog.bat批处理文件,确定即可
执行此脚本一定时间,就可以在netstatlog.txt文件中查看到本机在该时间段内的联网记录
当记录的数据足够丰富时,停止任务,将所得数据在excel中进行分析
可以看到用得最多的是360浏览器,其它也没什么异常的
(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。
<Sysmon schemaversion="9.01">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">firefox.exe</Image>
</ProcessCreate>
<ProcessCreate onmatch="include">
<ParentImage condition="end with">cmd.exe</ParentImage>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">firefox.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">firefox.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">firefox.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
使用Sysmon.exe -i C:\Sysmon20164317.xml安装sysmon
win10下,左下角开始菜单右击->事件查看器->应用程序和服务日志->Microsoft->Windows->Sysmon->Operational。在这里,我们可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别、详细信息等等
打开这个事件,可以看到其属于“NetworkContect”。查看详细信息,可以看到这个后门映像文件的具体位置、源IP和端口、目的IP和端口等
2.2恶意软件分析
1.静态分析
文件扫描(VirusTotal、VirusScan工具等)
文件格式识别(peid、file、FileAnalyzer工具等)
字符串提取(Strings工具等)
反汇编(GDB、IDAPro、VC工具等)
反编译(REC、DCC、JAD工具等)
逻辑结构分析(Ollydbg、IDAPro工具等)
加壳脱壳(UPX、VMUnPacker工具等)
2.动态分析
快照比对(SysTracer、Filesnap、Regsnap工具等)
抓包分析(WireShark工具等)
行为监控(Filemon、Regmon、ProcessExplorer工具等)
沙盒(NormanSandbox、CWSandbox工具等)
动态跟踪调试(Ollydbg、IDAPro工具等)
(1)使用VirusTotal分析恶意软件
把生成的恶意代码放在VirusTotal进行分析,结果如图:
查看这个恶意代码的基本属性
我们可以看到文件的类型、大小、SHA-1、MD5摘要值等结果
算法库支持情况
(2)使用systracer分析
分别在装了后门不连接,进行回连,进行截屏操作,三个状态抓快照。
比较不回连和回连:
171717是我的后门,可以看到回连是多了很多东西,虽然不太能理解。
进行操作后:
可以看到变化不大。
3.基础问题回答
问题1:如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控?
答: 1.利用系统命令查看系统各项状态,并将查看结果保存为日志。使用计划任务为命令设置执行间隔,通过监控系统一段时间的运行状态来监控系统。
2.使用具有监控系统功能的可靠软件来实现系统监控。
问题2:
如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息?
答:1.使用systracer工具对确定的恶意软件进行行为分析。
2.使用wireshark网络嗅探工具对该软件的网络通信情况进行分析。
4.实验感想
本次实验的内容十分丰富,我们尝试学习和使用了数款用于检测恶意代码的指令或是软件,这些工具都能很好地辅助我们对主机进行监控,以发现恶意行为并进行及时处理。
通过学习了解到,恶意代码的分析方法主要分为静态分析方法和动态分析方法。这两种方法在本次实验中都有所涉及。静态分析方法是指在不执行二进制程序的条件下进行分析,如反汇编分析等,属于逆向工程分析方法。而动态分析方法是指在恶意代码执行的情况下,利用调试工具对恶意代码实施跟踪和观察,确定恶意代码的工作过程,以便作进一步分析。
虽然恶意代码的分析工具多种多样、日趋完善,但作为计算机用户的我们更不能掉以轻心,而应该时刻保持警惕。要时常对电脑的行为进行监控,不要只寄希望于杀毒软件,因为杀毒与免杀的博弈关系会使二者共同发展,并不是所有的恶意代码都会被杀毒软件拒之门外
原文:https://www.cnblogs.com/liauer/p/10666360.html