恶意代码分析

Posted 4301xn

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了恶意代码分析相关的知识,希望对你有一定的参考价值。

20174301_许诺 恶意代码分析

一、实验原理

一是是监控你自己系统的运行状态,看有没有可疑的程序在运行。

二是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。

三是假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

二、实验步骤

(一)系统运行监控

1.使用计划任务监控

·使用管理员模式运行cmd模式,输入如下命令

schtasks /create /TN schtasks4301/sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c: etstatlog.txt"

计划成功建立的截图如下:

 技术图片

·新建一个文本文件,输入以下内容:

date /t >>c: etstat4301.txt

time /t >>c: etstat4301.txt

netstat -bn >>c: etstat4301.txt

将文本文件类型改成.bat类型,直接重命名改后缀名即可,当然要先设置使文件显示后缀格式,如图:

 技术图片

成功建立的文件截图如下:

 技术图片

·在任务计划程序中,打开schtasks4301,点击操作,编辑添加schtasks4301.bat为启动程序,然后启动该任务。

技术图片

·运行任务之后,文本文档netstat20174301.txt开始记录后台的数据,其中保持电脑的正常使用,半天后打开netstat4301.txt文件,参考其他同学的博客,将记录的数据导入excel表格,再做成数据透视图,如下:

 技术图片 

·可见电脑所有连网的程序,其中连接最为频繁的是MicrosoftEdgeCP.exe,IP地址是182.61.128.198,通过查询可知是百度云。

 技术图片

其次高的是Wpnservice,对应的IP地址为40.119.211.203,查询后发现是新加坡的IP地址,而且没有查到相关的正规软件厂商。

 技术图片

可见电脑存在不明连接,有被攻击监控的可能性。

2.使用sysmon工具监控

·根据需求编写xml文件

·下载安装sysmon

其中要在开始目录里选择Windows PowerShell(管理员)进入,使用cd命令进入解压目录并输入安装指令,安装完成。指令如下:

.Sysmon.exe -i C:UsersadminDesktop4301sysmon.xml

·查看日志

运行后门文件,打开事件查看器,点击应用程序和服务日志,选择Microsoft,选择Sysmon,点击Operational,可以查看进程信息。可以看到后门程序20174301.exe的进程信息,连接的IP是192.168.171.128,也即是虚拟机的IP地址。

 技术图片

调用了子进程conhost.exe,其功能主要是为命令行程序(cmd.exe)提供类似于Csrss.exe进程的图形子系统等功能支持。

技术图片

(二)恶意软件分析

1.wireshark软件捕包分析

·打开wireshark,选择VMnet8,输入过滤条件如下,其中端口和ip都是生成后门文件时设置的。

 技术图片

·运行后门文件,开始捕获IP包,如图:

 技术图片

可以看出linux和windows握手等的IP包。

2.Process Explorer分析

·下载并安装Process Explorer

·打开后门软件回连linux,查看Process Explorer的信息。

可以看到程序的存储位置、cpu的使用情况、后门程序连接的远程IP、程序的权限信息等。

 技术图片

 技术图片

 技术图片

 技术图片

3.Systracer分析

·下载并安装systracer

·选择端口号为4301,在后门软件(1)启动回连,(2)安装到目标机(3)截屏、获取击键记录(4)关闭后门文件,断开连接时拍下快照,如图:

 技术图片

·将这些快照分别进行比较,分析恶意软件的行为

选中1和2进行compare,在正在运行的进程中可发现后门程序20174301.exe。

 技术图片

在Registry中可以查看注册表的变化,如图:

 技术图片

可以发现,发生变化的注册表如下:

HKEY_CURRENT_USERSoftwareMicrosoftInputMethodSHARED

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNotificationsData

HKEY_LOCAL_MACHINESYSTEM

可以看到后门连接的IP地址。

 技术图片

 恶意软件回连后,通过快照前后对比发现了shellcode_upxed.exe,可以查看到其所建立的TCP连接以及其详细的端口地址信息。

 技术图片

导出文件后可以看到详细信息,可以发现增添了许多dll文件。

 技术图片

还发现了流氓软件/(ㄒoㄒ)/

 技术图片

对2、3进行比较

可查看得到截图的注册表信息

 技术图片

对3、4进行比较,注册表变化不大。

三、实验总结

(一)问题回答

1.如果在工作中怀疑一台主机上有恶意代码,但只是猜想,想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

可以监控系统的运行状态,建立任务计划程序中查看是否有可疑的程序运行,查询IP地址,如果不是正版厂商所属的,就有可能是恶意软件。

可以使用sysmon工具监控系统运行状态,可以查看后门程序有哪些子进程,从而了解到后门程序对电脑进行了哪些恶意行为。

2.如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

可以通过Process Explorer看到程序的存储位置、cpu的使用情况、后门程序连接的远程IP、程序的权限信息等。

可以使用wireshark,筛选IP地址后查看是否有可疑操作。

通过Systracer可以监控注册表和文件修改的情况。

(二)思考与总结

本次实验教会了我如何分析电脑的运行状态,并让我更加了解了恶意代码的行为特征,在电脑出现问题时,可以监控电脑的状态,根据恶意代码的特征去筛查电脑是否被恶意攻击。

以上是关于恶意代码分析的主要内容,如果未能解决你的问题,请参考以下文章

恶意代码分析技术

[恶意代码分析]恶意代码种类以及分析环境介绍

恶意代码分析实战3-2

恶意代码分析实战3-2

恶意代码分析实战9-1

恶意代码分析实战11-1