标签:href 损坏 32位 黑名单 arc 输出 mamicode kernel 计算机
恶意代码概念
- 恶意的目的
- 本身是计算机程序
- 通过执行发生作用
更多详情请参见恶意代码
Schtasks的使用
C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
cmd /c netstat -bn > c:\netstatlog.txt
更多详情请参见Schtasks官方网站
Sysmon的使用
- 确定要监控的目标
- 写好配置文件
- 启动sysmon
然后就可以在
事件查看器
里找到日志了
Sysmon.exe -i <configfile>
:Sysmon安装Sysmon.exe -c <configfile>
:Sysmon配置Sysmon.exe -u [force]
:Sysmon卸载更多详情请参见Sysmon官方网站
使用schtasks /create /TN netstat5313 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstat5313.txt"
命令创建计划任务netstat5313
在C盘要目录下建一个文件c:\netstat5313.bat
,内容如下:
date /t >> c:\netstat5313.txt
time /t >> c:\netstat5313.txt
netstat -bn >> c:\netstat5313.txt
netstat5313
,点击操作
->编辑
,将程序或脚本
改为我们创建的netstat5313.bat
批处理文件,参数可选项为空,常规
中勾选使用最高权限运行
运行
,可在netstat5313.bat目录下看到netstat5313.txt,打开就可看到每隔一分钟被输到这里的联网数据。数据
->导入数据
->选择数据源
,点击确定。原始数据类型
中选择分隔符号
,勾选所有分隔符号即可插入
->数据透视图
,选择我们要分析的那一列,并默认位置新表格,点击确定
- 使用最多的是youdao.exe,因为我正在写博客/(ㄒoㄒ)/~~
- chrome.exe、wps.exe、wpscenter.exe这些均为正常的
- WpnService和WpnUserService相当于一个软件检测版本更新一样有更新就会自动检测到自动更新,也是正常的
- 值得注意的是出现了SearchUI.exe和svchost.exe猜测我的电脑里应该是出现了恶意代码。。。
- 进程创建ProcessCreate
过滤事件选项:
UtcTime, ProcessGuid, ProcessId, Image, CommandLine, CurrentDirectory, User, LogonGuid, LogonId, TerminalSessionId, IntegrityLevel, Hashes, ParentProcessGuid, ParentProcessId, ParentImage, ParentCommandLine
- 进程创建时间FileCreatTime
过滤事件选项:
UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime, PreviousCreationUtcTime
- 网络连接NetworkConnect
过滤事件选项:
UtcTime, ProcessGuid, ProcessId, Image, User, Protocol, Initiated, SourceIsIpv6, SourceIp, SourceHostname, SourcePort, SourcePortName, DestinationIsIpv6, DestinationIp, DestinationHostname, DestinationPort, DestinationPortName
- 远程线程创建CreateRemoteThread
过滤事件选项:
UtcTime, SourceProcessGuid, SourceProcessId, SourceImage, TargetProcessGuid, TargetProcessId, TargetImage, NewThreadId, StartAddress, StartModule, StartFunction
<Sysmon schemaversion="3.10">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">chrome.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
- exclude相当于白名单,不用记录;include相当于黑名单
- Image condition根据自己使用的浏览器更改,如谷歌浏览器是“chrome.exe”,IE浏览器是“iexplore.exe”,写在exclude中就是不记录由谷歌浏览器创建的进程
- 进程创建时间类似,也是不创建浏览器创建进程的时间
- 网络连接过滤掉了浏览器的网络连接、源IP为127.0.0.1(localhost)的网络连接和目的端口为137的连接服务,且查看目的端口为80(http)和443(https)的网络连接。(137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务,一般安装了NetBIOS协议后,该端口会自动处于开放状态)
- 远程线程创建记录了目标为explorer.exe、svchost.exe、winlogon.exe和powershell.exe 的远程线程
- explorer.exe是Windows程序管理器或者文件资源管理器
- svchost.exe是一个属于微软Windows操作系统的系统程序,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称
- winlogon.exe是Windows NT 用户登陆程序,用于管理用户登录和退出
- powershell.exe是专为系统管理员设计的新 Windows 命令行外壳程序。该外壳程序包括交互式提示和脚本环境,两者既可以独立使用也可以组合使用
SysinternalsSuite201608
文件夹下,执行sysmon.exe -i C:\20175313Sysmoncfig.txt
事件查看器
,在应用程序和服务日志
->Microsoft
->Windows
->Sysmon
->Operational
可以看到按照配置文件的要求记录的新事件,以及事件ID、任务类别等shell
获取win7的cmd,并查看事件查看器
migrate 2224
迁移到explore.exe进程上,并查看事件查看器
record_mic
获取win7的录音,并查看事件查看器
这里发现了一个被创建的的进程svchost.exe,而且他还迁移到explore.exe上,隐藏自己。(svchost.exe是微软视窗操作系统里的一个系统进程,管理通过Dll文件启动服务的其它进程,一些病毒木马伪装成系统dll文件通过Svchost调用它,试图隐藏自己。每个svchost可以同时调用多个dll文件,启动多个服务)
你可以在任何想要的时间获取无数个屏幕快照,比较任何一对想要的屏幕快照,并且观察其间的不同之处。获取屏幕快照通常会持续几分钟的时间,这取决于文件和文件夹的数量和注册表项目的总数。
shell
获取目标机cmd,执行dir
后,捕获快照Snapshot #4
- 运行后门程序需要加载
apphelp.dll
应用程序兼容性客户端库- explore.exe新增了一个tquery.dll,说明explore.exe正在运行程序,这里猜测是由于后门程序为了隐藏自己,迁移到浏览器上了。
- SearchIndexr.exe新增了大量的.dll猜测是在进行大量的查询工作,因为攻击机kali执行了
dir
修改
从这里可以看出来,后门程序修改了注册表配置文件。
新增
- kernel32.dll属于内核级文件,它控制着系统的内存管理、数据的输入输出操作和中断处理,是必需的
- advapi32.dll是一个高级API应用程序接口服务库的一部分,包含的函数与对象的安全性,注册表的操控以及事件日志有关,会受到病毒的侵扰及篡改,导致系统文件丢失、损坏
- wsock32.dll是Windows Sockets应用程序接口,用于支持很多Internet和网络应用程序,是一个对系统很关键或很可疑的文件,易遭受木马病毒(如“犇牛”病毒)破坏导致系统找不到此文件,出现错误提示框。
- ws2_32.dll是Windows Sockets应用程序接口。一些病毒会在杀毒软件目录中建立伪"ws2_32.dll"的文件或文件夹,在杀毒软件看来这是程序运行需要的文件而调用,这个所谓的“文件”又不具备系统"ws2_32.dll"文件的功能,所以杀毒软件等就无法运行了而提示:应用程序正常初始化失败。
- wsock32.dll和ws2_32.dll,这两个是会经常被木马、病毒等进行侵略篡改的文件,可以分析出我们的后门程序对其做一定的修改来实现反弹连接控制被控机。
删除
EhStorAPI.dll Windows
增强的存储APInetprofm.dll
网络列表管理器- 这里可以看到后门程序进行反弹连接后还删除了浏览器对其行为了记录
从上图可知,win7给kali发送SYN请求连接,说明该后门程序采用反弹式连接;建立连接后,Kali会不断给Windows传一大堆ACK包,有时还伴有PSH+ACK包(进行数据传输)。
tasklist
查看程序进程号2019-2020-1 20175313张黎仙《网络对抗技术》Exp4 恶意代码分析
标签:href 损坏 32位 黑名单 arc 输出 mamicode kernel 计算机
原文地址:https://www.cnblogs.com/xiannvyeye/p/12679040.html