一、實驗要求

1、系統運行監控

• 使用如計劃任務，每隔一分鐘記錄自己的電腦有哪些程序在聯網，連接的外部IP是哪里。運行一段時間并分析該文件，綜述一下分析結果。
• 安裝配置sysinternals里的sysmon工具，設置合理的配置文件，監控自己主機的重點事可疑行為。

2、惡意軟件分析

分析該軟件在

• 啟動回連
• 安裝到目標機
• 及其他任意操作時（如進程遷移或抓屏）

該后門軟件

• 讀取、添加、刪除了哪些注冊表項
• 讀取、添加、刪除了哪些文件
• 連接了哪些外部IP，傳輸了什么數據（抓包分析）

二、實驗步驟

1、windows計劃任務

• 以管理員身份打開cmd，使用指令```schtasks /create /TN 4324netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt創建計劃任務5315netstat，記錄每1分鐘計算機聯網情況：

• 一、實驗要求

  1、系統運行監控

  • 使用如計劃任務，每隔一分鐘記錄自己的電腦有哪些程序在聯網，連接的外部IP是哪里。運行一段時間并分析該文件，綜述一下分析結果。
  • 安裝配置sysinternals里的sysmon工具，設置合理的配置文件，監控自己主機的重點事可疑行為。

  2、惡意軟件分析

  分析該軟件在

  • 啟動回連
  • 安裝到目標機
  • 及其他任意操作時（如進程遷移或抓屏）

  該后門軟件

  • 讀取、添加、刪除了哪些注冊表項
  • 讀取、添加、刪除了哪些文件
  • 連接了哪些外部IP，傳輸了什么數據（抓包分析）

  二、實驗步驟

  1、windows計劃任務

  • 以管理員身份打開cmd，使用指令```schtasks /create /TN 5315netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt創建計劃任務5315netstat，記錄每1分鐘計算機聯網情況：

  • 一、實驗要求

    1、系統運行監控

    • 使用如計劃任務，每隔一分鐘記錄自己的電腦有哪些程序在聯網，連接的外部IP是哪里。運行一段時間并分析該文件，綜述一下分析結果。
    • 安裝配置sysinternals里的sysmon工具，設置合理的配置文件，監控自己主機的重點事可疑行為。

    2、惡意軟件分析

    分析該軟件在

    • 啟動回連
    • 安裝到目標機
    • 及其他任意操作時（如進程遷移或抓屏）

    該后門軟件

    • 讀取、添加、刪除了哪些注冊表項
    • 讀取、添加、刪除了哪些文件
    • 連接了哪些外部IP，傳輸了什么數據（抓包分析）

    二、實驗步驟

    1、windows計劃任務

    • 以管理員身份打開cmd，使用指令```schtasks /create /TN 4324netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt創建計劃任務5315netstat，記錄每1分鐘計算機聯網情況：

    • 在桌面建立一個netstatlog.txt文件，內容為

    • date /t >> c:\netstatlog.txt
      time /t >> c:\netstatlog.txt
      netstat -bn >> c:\netstatlog.txt

    • 這些指令是用來將記錄的聯網結果格式化輸出到netstatlog.txt文件中

      • 將后綴名改為.bat后，用管理員身份將該文件放入C盤

      • 打開計算機管理的“任務計劃程序庫”，可以查看到4324netstat任務就緒，打開其屬性，修改其指令為c:\netstatlog.bat

      • 在屬性中“常規”一欄最下面勾選“使用最高權限運行”，不然程序不會自動運行

      • 在屬性中“條件”這一選項中的“電源”一欄中，取消勾選“只有計算機使用交流電源才啟動此任務”，防止電腦一斷電任務就停止

      • 可以在C盤的netstat4324.txt文件中查看到本機在該時間段內的聯網記錄：

      • 等待一段時間（如一天），將存儲的數據通過excel表進行整理

      • 首先我們可以看到TCP是最多的，其次是“wps.exe”和“kxes core.exe”。一個是wps軟件云端的一個服務的進程，另一個kxescore.exe是金山毒霸的密保用戶的進程。注冊了金山密保之后就會呈現的。

      • 2、使用sysmon工具

        • 首先創建配置文件sysmon4324.xml，文件中包含指令

        • <Sysmon schemaversion="4.20">

          ?<!-- Capture all hashes -->

          ?<HashAlgorithms>*</HashAlgorithms>

          ?<EventFiltering>

          ?? <!-- Log all drivers except if the signature -->

          ?? <!-- contains Microsoft or Windows -->

          ?? <ProcessCreate onmatch="exclude">

          ????? <Image condition="end with">chrome.exe</Image> </ProcessCreate>

          ?? <FileCreateTime onmatch="exclude" >

          ????? <Image condition="end with">chrome.exe</Image> </FileCreateTime>

          ?? <NetworkConnect onmatch="exclude">

          ????? <Image condition="end with">chrome.exe</Image>

          ????? <SourcePort condition="is">137</SourcePort>

          ????? <SourceIp condition="is">127.0.0.1</SourceIp>

          ?? </NetworkConnect>

          ?? <NetworkConnect onmatch="include">

          ????? <DestinationPort condition="is">80</DestinationPort>
          ?
          ????? <DestinationPort condition="is">443</DestinationPort>

          ?? </NetworkConnect>

          ?
          ?? <CreateRemoteThread onmatch="include">

          ?????? <TargetImage condition="end with">explorer.exe</TargetImage>

          ?????? <TargetImage condition="end with">svchost.exe</TargetImage>
          ??
          ?????? <TargetImage condition="end with">winlogon.exe</TargetImage>

          ?????? <SourceImage condition="end with">powershell.exe</SourceImage>

          ??? </CreateRemoteThread>
          ?
          ? </EventFiltering>

          </Sysmon>

        • 以管理員身份打開命令行，使用指令Sysmon.exe -i C:\sysmon4324.xml安裝sysmon

        • 在事件查看器中的應用程序和服務日志下，查看Microsoft->Windows->Sysmon->Operational。在這里，我們可以看到按照配置文件的要求記錄的新事件，以及事件ID、任務類別、詳細信息等等

        • 點開事件三，發現是我關閉了電腦管家

        • 運行實驗三中生成的后門程序，并用kali進行回連

        • 發現了有上網瀏覽的歷史記錄。

        • 3、惡意軟件分析
        • 文件掃描（VirusTotal、VirusScan工具等）
        • 文件格式識別（peid、file、FileAnalyzer工具等）
        • 字符串提取（Strings工具等）
        • 反匯編（GDB、IDAPro、VC工具等）
        • 反編譯（REC、DCC、JAD工具等）
        • 邏輯結構分析（Ollydbg、IDAPro工具等）
        • 加殼脫殼（UPX、VMUnPacker工具等）
        • 文件掃描（VirScan工具）
        • 使用在線VirusScan工具對上次實驗中生成的.jar文件進行掃描，有（8/49）個軟件發現病毒

        • 點擊掃描結果下方的的哈勃文件分析查看詳細分析結果

      • ?

        總結：
        此惡意代碼主要就是通過建立一個反彈連接，受害機一旦運行該程序，攻擊機就會自動獲取該受害機的控制權限，并在受害機中創建進程、修改刪除文件、創建事件對象等等，對受害機造成很大的威脅。

      • 四、實驗總結

        1、實驗后回答問題

        （1）如果在工作中懷疑一臺主機上有惡意代碼，但只是猜想，所有想監控下系統一天天的到底在干些什么。請設計下你想監控的操作有哪些，用什么方法來監控。

      • 使用windows自帶的schtasks指令設置一個計劃任務，每隔一定的時間對主機的聯網記錄等進行記錄。

      • 使用sysmon工具，通過配置想要監控的端口、注冊表信息、網絡連接等信息，記錄相關的日志文件。

        （2）如果已經確定是某個程序或進程有問題，你有什么工具可以進一步得到它的哪些信息。

      • 使用VirusScan工具對可疑文件進行掃描，在哈勃文件分析當中可以很清晰的了解到這個進程的問題是什么。
      • 2.實驗心得：這次的實驗相對于前幾次來說是比較有困難的，但是我覺得在進行了這次試驗之后，我真切的學到了一些能夠保護自己電腦的手段，覺得非常的開心。

轉載于:https://www.cnblogs.com/wqy20164324/p/10665544.html

總結

以上是生活随笔為你收集整理的20164324王启元 Exp4恶意代码分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。