20154324 刘康权 Exp4 恶意代码分析

本文主要是介绍20154324 刘康权 Exp4 恶意代码分析，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

一、实践目标与内容

1.实践目标

监控自己系统的运行状态，查看是否有可疑的程序在运行。
使用多种工具分析一个之前实验中生成的后门软件。
假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

2.实践内容

系统运行监控

（1）使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述一下分析结果。目标就是找出所有连网的程序，连了哪里，大约干了什么(不抓包的情况下只能猜)，你觉得它这么干合适不。如果想进一步分析的，可以有针对性的抓包。

（2）安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。

分析恶意软件在(1)启动回连，(2)安装到目标机，(3)及其他任意操作时
读取、添加、删除了哪些注册表项
读取、添加、删除了哪些文件
连接了哪些外部IP，传输了什么数据（抓包分析）

二、实践过程与步骤

1.使用Windows计划任务，监控系统运行

1.1首先在c盘创建一个txt文件，输入以下内容后另存为bat文件

date /t >> c:\20154324_2.txt time /t >> c:\\20154324_2.txt netstat -bn >> c:\\20154324_2.txt
-即保存日期，时间和活动连接

1.2在Windows系统下，打开控制面板，搜索任务计划，进去后就可以开始创建任务，填写任务名称后，新建一个触发器，设置为每五分钟运行一次，且以最高权限运行（因为我的bat在c盘，需要管理员权限），并新建操作启动bat文件。

1.3查看保存了一天信息的txt文件，并导入Excel，运用数据透视表进行分析，可以看到最多的是360se即360浏览器，因为中途多次用了360浏览器查阅资料

1.4再分析了对外的连接情况，但看到最多的是127.0.0.1即本机地址，后来经过查询得知，127.0.0.1 是绑定在 loopback 接口上的地址，如果服务端套接字绑定在它上面，你的客户端程序就只能在本机访问

1.5查询了其中感兴趣的几个进程，其中常见的360se为360游览器，360tray是360安全卫士，并查到360的ip都是河南的，而我不知道两个进程et.exe和conhost.exe是啥，查询后知道conhost是微软的系统文件，et是wps表格。

2.使用sysmon工具，监控自己主机

2.1 下载sysmon工具后，编辑配置文件xml，通过代码进行安装,并通过-c进行更新

Sysmon.exe -i C:\Analyse\20154324_3.txt

2.2 通过win+r，输入evevntvwr查看日志，找到应用程序和服务日志-->Microsoft-->windows-->sysmon，就可以查看日志了

因为之前尝试netstat -bn 的功能没有关闭cmd，所以可以看到cmd在运行
还可以看到已经回连成功，正在运行的后门程序

3.使用systracer分析之前生成的后门程序

其中#1为后门程序安装到目标机后
其中#2为启动回连后
其中#3为回连后执行ls命令
其中#4为回连后执行mkdir命令

3.1 #1和#2进行比较

3.1.1注册表信息进行比较，我发现主要是CurrentVersion中的Explorer和interent setting注册表信息发生了变化，但是systracer不能查看更详细的信息，我认为是后门程序伪装成explorer，所以更改了其中的注册表信息。

3.1.2文件信息进行比较，没有变化，而查看端口，可以看到主机连接了KALI主机

3.2 #2和#3进行比较，发现注册表信息没有变化，文件也没有变化，而查看端口可以发现新增了一个连接，其他都是正常的windows search搜索引擎服务的变化，但是一查，这个新增的连接竟然是美国的ip

3.3 #2和#4进行比较

3.3.1首先注册表信息还是CurrentVersion中的Explorer和interent setting注册表信息发生了变化，而让我最震惊的就是，360和qq管家竟然会更新注册表信息，我猜想是猜测出了木马的行为，所以进行更新

3.3.2查看文件，可以发现我们创建文件的命令成功了，成功在c盘创建了文件夹

3.3.3查看端口，没有什么变化，都是游览器或者系统的正常更新

最后附一张回连后执行的指令

4.使用process monitor分析回连后的情况

通过查找后门程序名字找到后门程序，可以看到后门程序伪装成了explorer进程，会一直查询、修改注册表信息，且在执行ls命令后会执行查看目录的操作

5.使用火绒杀毒软件中的火绒剑分析回连后的情况

火绒是一款非常强大的杀毒软件，而且不像360一样，一装就是360全家桶，比360不知道强到哪去了
进入火绒后，在扩展工具里就能找到火绒剑，我是通过查找我的后门程序名字找到的，进一步确定后门程序伪装成了explorer程序

6.使用virscan网站对文件进行分析

可以看到有7个引擎识别了出来，基本确认是病毒文件

三、问题回答

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控？

我认为需要监控端口连接情况，注册表信息，文件信息，我想可以通过设置任务计划定时的，通过启动一个记录系统连接情况的程序实现监控端口连接情况。然后通过使用SysTracer等类似软件，定时拍照，查看注册表信息，文件信息等信息。

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息？

可以通过火绒剑实时监控这个程序或进程在做的事以及对外的连接，还可以通过SysTracer在执行该进程前后进行拍照，查看端口连接情况，注册表信息，文件信息的变化，还可以通过process monitor查看在该进程启动后执行的具体的操作，还可以将这个程序上传到virscan网站上通过多个杀毒引擎进行判断。

四、实验总结与体会

在当了多次的“小偷”后，我们这次实验终于到了一次“警察”，对过去自己的所作所为进行分析，知道了不少小却十分方便的工具，也知道了Windows自带的一些很方便的服务。通过这些工具，可以查看“小偷”对我们的电脑做了些什么，从而对“小偷”进行管理。

转载于:https://www.cnblogs.com/liukangquan/p/8810392.html

这篇关于20154324 刘康权 Exp4 恶意代码分析的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！