标签:编辑 图片 有关 list 思路 系统日志 com 技术 ==
目录
1、监控你自己系统的运行状态,看有没有可疑的程序在运行。
2、分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
3、假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
1、系统运行监控
2、恶意软件分析
分析该软件在(1)启动回连,(2)安装到目标机(3)及其他任意操作时(如进程迁移或抓屏,重要是你感兴趣)。该后门软件
1、如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
1、使用schtasks /create /TN netstat5215 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
命令创建计划任务,其中
TN
是TaskName的缩写,我们创建的计划任务名是netstat5215;sc
表示计时方式,我们以分钟计时即MINUTE;TR
即Task Run,要运行的指令是 netstat;bn
中b表示显示可执行文件名,n表示以数字来显示IP和端口;>
表示输出重定向,将输出存放在c:\netstatlog.txt文件中2、在C盘中创建一个netstat5215.bat脚本文件,写入以下内容
date /t >> c:\netstat5215.txt
time /t >> c:\netstat5215.txt
netstat -bn >> c:\netstat5215.txt
3、打开任务计划程序,可以看到新创建的这个任务
4、双击这个任务, 在常规栏设置使用最高权限运行
,在操作栏点击编辑,将其中的程序或脚本
改为我们创建的netstat5215.bat
批处理文件,参数可选项为空,点击确定
5、
1、确定键控目标:进程创建ProcessCreate、进程创建时间FileCreatTime、网络连接NetworkConnect、远程线程创建CreateRemoteThread
2、创建配置文件20165215Sysmoncfig.xml
,内容如下
<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">MicrosoftEdgeCP.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">MicrosoftEdgeCP.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">MicrosoftEdgeCP.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
分析:
exclude
相当于白名单,不用记录。include
相当于黑名单。Image condition
这里要根据自己使用的浏览器更改,例如谷歌浏览器是“chrome.exe”,IE浏览器是“iexplore.exe”,而我的是“MicrosoftEdgeCP.exe”3、以管理员身份执行命令sysmon.exe -i C:\20165215Sysmoncfig.txt
,安装sysmon
4、如果修改了配置文件,则运行指令sysmon.exe -c C:\20165215Sysmoncfig.txt
5、打开计算机管理
->事件查看器
->应用程序和服务日志
->Microsoft
->Windows
->Sysmon
->Operational
查看日志
6、分析实验二生成的后门程序20165215_backdoor.exe,执行到回连
7、运行dir时出现了 svchost.exe ,它是微软视窗操作系统里的一个系统进程,管理通过Dll文件启动服务的其它进程,一些病毒木马伪装成系统dll文件通过Svchost调用它,试图隐藏自己
8、运行shell后,我们可以观察到一个后门所在文件夹有关的C:\Windows\SysWOW64\cmd.exe程序
1、在VirusTotal网站上分析通过upx加壳生成的后门
2、查看这个恶意代码的基本属性:可以看出它的SHA-1、MD5摘要值、文件类型、文件大小,以及TRiD文件类型识别结果等内容
3、加壳情况
4、算法库支持
1、检测一个没有加过壳的文件
2、选择加过壳的.exe文件路径或者干脆直接把.exe文件拖到里面即可
分析:我们可以看到软件加的UPX的壳,版本是0.89.6,点击扩展信息
按钮可以查看详细信息
1、打开后门程序20165215_backdoor.exe
2、查看程序头部信息
3、查看程序静态数据目录
4、查看程序结头信息
5、工具
-反汇编器
进行反汇编
6、点击导入
查看其引用的dll库
分析:
msvcrt.dll
是微软在windows操作系统中提供的C语言运行库执行文件kernel32.dll
属于内核级文件,控制着系统的内存管理、数据的输入输出操作和中断处理advapi32.dll
是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关,会受到病毒的侵扰及篡改,导致系统文件丢失、损坏wsock32.dll
是Windows Sockets应用程序接口,用于支持很多Internet和网络应用程序,是一个对系统很关键或很可疑的文件,易遭受木马病毒(如“犇牛”病毒)破坏导致系统找不到此文件,出现错误提示框。ws2_32.dll
是Windows Sockets应用程序接口。一些病毒会在杀毒软件目录中建立伪"ws2_32.dll"的文件或文件夹,在杀毒软件看来这是程序运行需要的文件而调用,这个所谓的“文件”又不具备系统"ws2_32.dll"文件的功能,所以杀毒软件等就无法运行了而提示:应用程序正常初始化失败。- 初始创建快照,命名为Snapshot #1
- 回连成功后创建快照,命名为Snapshot #2
- kali端输入```ls```命令后创建快照,命名为Snapshot #3
- kali端输入```screenshot```命令后创建快照,命名为Snapshot #3
compare
将快照之间进行比较,为了方便对比差异,我们选择Only Difference
端口变化
dlls发生变化
查看opened handles的变化
回连完成后结束捕获,并把过滤规则设置为ip.addr == 192.168.1.144
(此处过滤设置为与kali有关的数据包)
我们可以看到有大量的TCP包,ACK包,有时还伴有PSH+ACK包。(PSH就表示有 DATA数据传输)
2018-2019-2 20165215《网络对抗技术》Exp4 恶意代码分析
标签:编辑 图片 有关 list 思路 系统日志 com 技术 ==
原文地址:https://www.cnblogs.com/fyss/p/10665557.html