20154324 刘康权 Exp4 恶意代码分析

2023-10-15 11:50

本文主要是介绍20154324 刘康权 Exp4 恶意代码分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、实践目标与内容

1.实践目标

  1. 监控自己系统的运行状态,查看是否有可疑的程序在运行。

  2. 使用多种工具分析一个之前实验中生成的后门软件。

  3. 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

2.实践内容

  • 系统运行监控

(1)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

  • 分析恶意软件在(1)启动回连,(2)安装到目标机,(3)及其他任意操作时
  • 读取、添加、删除了哪些注册表项
  • 读取、添加、删除了哪些文件
  • 连接了哪些外部IP,传输了什么数据(抓包分析)

二、实践过程与步骤

1.使用Windows计划任务,监控系统运行

1.1首先在c盘创建一个txt文件,输入以下内容后另存为bat文件

date /t >> c:\20154324_2.txt time /t >> c:\\20154324_2.txt netstat -bn >> c:\\20154324_2.txt
-即保存日期,时间和活动连接

1.2在Windows系统下,打开控制面板,搜索任务计划,进去后就可以开始创建任务,填写任务名称后,新建一个触发器,设置为每五分钟运行一次,且以最高权限运行(因为我的bat在c盘,需要管理员权限),并新建操作启动bat文件。

1344859-20180412191010142-853561281.png

1344859-20180412191017547-1257430996.png

1.3查看保存了一天信息的txt文件,并导入Excel,运用数据透视表进行分析,可以看到最多的是360se即360浏览器,因为中途多次用了360浏览器查阅资料

1344859-20180412230003446-1249696988.png

1344859-20180412225829245-1944930185.png

1.4再分析了对外的连接情况,但看到最多的是127.0.0.1即本机地址,后来经过查询得知,127.0.0.1 是绑定在 loopback 接口上的地址,如果服务端套接字绑定在它上面,你的客户端程序就只能在本机访问

1344859-20180412225927672-1075491987.png

1.5查询了其中感兴趣的几个进程,其中常见的360se为360游览器,360tray是360安全卫士,并查到360的ip都是河南的,而我不知道两个进程et.exe和conhost.exe是啥,查询后知道conhost是微软的系统文件,et是wps表格。

1344859-20180412193529371-122108804.png

2.使用sysmon工具,监控自己主机

2.1 下载sysmon工具后,编辑配置文件xml,通过代码进行安装,并通过-c进行更新

Sysmon.exe -i C:\Analyse\20154324_3.txt
1344859-20180412194151423-1014193161.png

2.2 通过win+r,输入evevntvwr查看日志,找到应用程序和服务日志-->Microsoft-->windows-->sysmon,就可以查看日志了
  • 因为之前尝试netstat -bn 的功能没有关闭cmd,所以可以看到cmd在运行
    1344859-20180412194640878-159894921.png

  • 还可以看到已经回连成功,正在运行的后门程序
    1344859-20180412194816161-1082779212.png

3.使用systracer分析之前生成的后门程序

  • 其中#1为后门程序安装到目标机后
  • 其中#2为启动回连后
  • 其中#3为回连后执行ls命令
  • 其中#4为回连后执行mkdir命令
    1344859-20180412195118521-569800174.png
3.1 #1和#2进行比较
3.1.1注册表信息进行比较,我发现主要是CurrentVersion中的Explorer和interent setting注册表信息发生了变化,但是systracer不能查看更详细的信息,我认为是后门程序伪装成explorer,所以更改了其中的注册表信息。

1344859-20180412200016327-2093809611.png

3.1.2文件信息进行比较,没有变化,而查看端口,可以看到主机连接了KALI主机

1344859-20180412200327568-1436484539.png

3.2 #2和#3进行比较,发现注册表信息没有变化,文件也没有变化,而查看端口可以发现新增了一个连接,其他都是正常的windows search搜索引擎服务的变化,但是一查,这个新增的连接竟然是美国的ip

1344859-20180412200941501-1941921854.png
1344859-20180412200946405-1492865078.png

3.3 #2和#4进行比较
3.3.1首先注册表信息还是CurrentVersion中的Explorer和interent setting注册表信息发生了变化,而让我最震惊的就是,360和qq管家竟然会更新注册表信息,我猜想是猜测出了木马的行为,所以进行更新

1344859-20180412201305720-1936041123.png

1344859-20180412201311023-491707832.png

3.3.2查看文件,可以发现我们创建文件的命令成功了,成功在c盘创建了文件夹
3.3.3查看端口,没有什么变化,都是游览器或者系统的正常更新

1344859-20180412201531949-459771359.png

  • 最后附一张回连后执行的指令
    1344859-20180412201600665-167742368.png
4.使用process monitor分析回连后的情况
  • 通过查找后门程序名字找到后门程序,可以看到后门程序伪装成了explorer进程,会一直查询、修改注册表信息,且在执行ls命令后会执行查看目录的操作
    1344859-20180412201748289-2096783976.png
5.使用火绒杀毒软件中的火绒剑分析回连后的情况
  • 火绒是一款非常强大的杀毒软件,而且不像360一样,一装就是360全家桶,比360不知道强到哪去了
  • 进入火绒后,在扩展工具里就能找到火绒剑,我是通过查找我的后门程序名字找到的,进一步确定后门程序伪装成了explorer程序
    1344859-20180412202023369-1254841169.png

1344859-20180412202016722-1000805247.png

6.使用virscan网站对文件进行分析
  • 可以看到有7个引擎识别了出来,基本确认是病毒文件
    1344859-20180412204329818-758928228.png

三、问题回答

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控?

  • 我认为需要监控端口连接情况,注册表信息,文件信息,我想可以通过设置任务计划定时的,通过启动一个记录系统连接情况的程序实现监控端口连接情况。然后通过使用SysTracer等类似软件,定时拍照,查看注册表信息,文件信息等信息。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息?

  • 可以通过火绒剑实时监控这个程序或进程在做的事以及对外的连接,还可以通过SysTracer在执行该进程前后进行拍照,查看端口连接情况,注册表信息,文件信息的变化,还可以通过process monitor查看在该进程启动后执行的具体的操作,还可以将这个程序上传到virscan网站上通过多个杀毒引擎进行判断。

四、实验总结与体会

  • 在当了多次的“小偷”后,我们这次实验终于到了一次“警察”,对过去自己的所作所为进行分析,知道了不少小却十分方便的工具,也知道了Windows自带的一些很方便的服务。通过这些工具,可以查看“小偷”对我们的电脑做了些什么,从而对“小偷”进行管理。

转载于:https://www.cnblogs.com/liukangquan/p/8810392.html

这篇关于20154324 刘康权 Exp4 恶意代码分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/217518

相关文章

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

MOLE 2.5 分析分子通道和孔隙

软件介绍 生物大分子通道和孔隙在生物学中发挥着重要作用,例如在分子识别和酶底物特异性方面。 我们介绍了一种名为 MOLE 2.5 的高级软件工具,该工具旨在分析分子通道和孔隙。 与其他可用软件工具的基准测试表明,MOLE 2.5 相比更快、更强大、功能更丰富。作为一项新功能,MOLE 2.5 可以估算已识别通道的物理化学性质。 软件下载 https://pan.quark.cn/s/57

衡石分析平台使用手册-单机安装及启动

单机安装及启动​ 本文讲述如何在单机环境下进行 HENGSHI SENSE 安装的操作过程。 在安装前请确认网络环境,如果是隔离环境,无法连接互联网时,请先按照 离线环境安装依赖的指导进行依赖包的安装,然后按照本文的指导继续操作。如果网络环境可以连接互联网,请直接按照本文的指导进行安装。 准备工作​ 请参考安装环境文档准备安装环境。 配置用户与安装目录。 在操作前请检查您是否有 sud

线性因子模型 - 独立分量分析(ICA)篇

序言 线性因子模型是数据分析与机器学习中的一类重要模型,它们通过引入潜变量( latent variables \text{latent variables} latent variables)来更好地表征数据。其中,独立分量分析( ICA \text{ICA} ICA)作为线性因子模型的一种,以其独特的视角和广泛的应用领域而备受关注。 ICA \text{ICA} ICA旨在将观察到的复杂信号

【软考】希尔排序算法分析

目录 1. c代码2. 运行截图3. 运行解析 1. c代码 #include <stdio.h>#include <stdlib.h> void shellSort(int data[], int n){// 划分的数组,例如8个数则为[4, 2, 1]int *delta;int k;// i控制delta的轮次int i;// 临时变量,换值int temp;in

三相直流无刷电机(BLDC)控制算法实现:BLDC有感启动算法思路分析

一枚从事路径规划算法、运动控制算法、BLDC/FOC电机控制算法、工控、物联网工程师,爱吃土豆。如有需要技术交流或者需要方案帮助、需求:以下为联系方式—V 方案1:通过霍尔传感器IO中断触发换相 1.1 整体执行思路 霍尔传感器U、V、W三相通过IO+EXIT中断的方式进行霍尔传感器数据的读取。将IO口配置为上升沿+下降沿中断触发的方式。当霍尔传感器信号发生发生信号的变化就会触发中断在中断

kubelet组件的启动流程源码分析

概述 摘要: 本文将总结kubelet的作用以及原理,在有一定基础认识的前提下,通过阅读kubelet源码,对kubelet组件的启动流程进行分析。 正文 kubelet的作用 这里对kubelet的作用做一个简单总结。 节点管理 节点的注册 节点状态更新 容器管理(pod生命周期管理) 监听apiserver的容器事件 容器的创建、删除(CRI) 容器的网络的创建与删除

PostgreSQL核心功能特性与使用领域及场景分析

PostgreSQL有什么优点? 开源和免费 PostgreSQL是一个开源的数据库管理系统,可以免费使用和修改。这降低了企业的成本,并为开发者提供了一个活跃的社区和丰富的资源。 高度兼容 PostgreSQL支持多种操作系统(如Linux、Windows、macOS等)和编程语言(如C、C++、Java、Python、Ruby等),并提供了多种接口(如JDBC、ODBC、ADO.NET等

OpenCV结构分析与形状描述符(11)椭圆拟合函数fitEllipse()的使用

操作系统:ubuntu22.04 OpenCV版本:OpenCV4.9 IDE:Visual Studio Code 编程语言:C++11 算法描述 围绕一组2D点拟合一个椭圆。 该函数计算出一个椭圆,该椭圆在最小二乘意义上最好地拟合一组2D点。它返回一个内切椭圆的旋转矩形。使用了由[90]描述的第一个算法。开发者应该注意,由于数据点靠近包含的 Mat 元素的边界,返回的椭圆/旋转矩形数据