标签:小娜 event 木马 log 安装 自己的 思路 虚拟机 镜像
schtasks /create /TN netstat5303 /sc MINUTE /MO 2 /TR "cmd /c netstat -bn > c:\netstatlog.txt"TN是TaskName的缩写,我们创建的计划任务名是netstat5303;sc表示计时方式,我们以分钟计时填MINUTE;TR是Task Run,要运行的指令是netstatbnb表示显示可执行文件名,n表示以数字来显示IP和端口;>表示输出重定向,将输出存放在c:\netstatlog.txt文件中
在C盘中创建一个名为netstat5303.bat的脚本文件(打开记事本,保存到d盘时选所有文件格式,命名以.bat结尾,最后移动到c盘),写入以下内容:
date /t >> c:\netstat5303.txt
time /t >> c:\netstat5303.txt
netstat -bn >> c:\netstat5303.txt
打开控制面板搜索管理工具,然后打开任务计划程序,找到新建的计划netstat5303
点击计划属性,然后操作选项卡里面的编辑启动程序,把程序或脚本的cmd改成netstat5303.bat
在常规选项卡勾选不管用户是否登录都要运行和使用最高权限运行
程序运行后,打开netstat5303.txt,就能看到计划运行记录下来的联网记录
打开Excel,在数据->自文本导入txt文件
导入向导第1步选择分隔符号
导入向导第2步,选择所有分隔符号
导入数据后如下
插入数据透视图后右边会有如下界面,将周四拖到下面轴和值
便有了如下数据透视图
分析统计数据
到官网下载sysmon
下载后到sysmon.exe所存在的文件夹内,新建一个xml文件,与bat文件形式类似,文件中写入一下代码:
其中exclude相当于白名单,即不记录,include相当于黑名单,要记录,onmatch意为匹配
Driverload是驱动加载程序
NetworkConnect是网络连接
CreateRemote是远程线程创建
<Sysmon schemaversion="10.42">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
<Signature condition="contains">microsoft</Signature>
<Signature condition="contains">windows</Signature>
</DriverLoad>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">iexplorer.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
然后打开以管理员身份运行命令提示符,在sysmon文件夹下输入以下指令
Sysmon.exe -i sysmon.xml
出现安装界面
安装成功后,出现sysmon started正常
在sysmon.xml文件的NetworkConnect段后填入如下代码
<NetworkConnect onmatch="include">
<DestinationPort condition="is">5303</DestinationPort>
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
配置文件修改完要更新,指令为:sysmon.exe -c sysmon.xml
查看日志
①在开始菜单搜索框中输入event,打开事件查看器。
②在应用程序和服务日志下,查看Microsoft->Windows->Sysmon->Operational
③kali打开msf控制台运行监听服务,本机运行实验二生成的后门文件,在kali虚拟机中获取Windows的命令行。
④查看后门文件的日志
镜像:D:\20175303 柴轩达\大三下\网络对抗\实验\ncat\20175303_backdoor.exe
描述:ApacheBench命令行实用程序
产品:Apache HTTP服务器
程序:D:\20175303 柴轩达\大三下\网络对抗\实验\ncat\20175303_backdoor.exe
协议:tcp
源IP地址:192.168.0.1(Windows的IP)
目标IP地址:192.168.0.10(kali的IP)
目的端口:5303
主要有以下几种分析方法:
(2)文件格式识别(pied)
下图中可以看到运行此文件会运行很多DDL后缀的进行,也就是动态链接库,作用为程序在运行时由系统动态加载到内存中供程序调用,所以调用DDL是正常的。
对加壳的后门文件进行扫描,可以扫描出upx壳
(3)反编译、反汇编(PE Explorer工具)
PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。该软件支持插件,你可以通过增加插件加强该软件的功能,原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器。
文件头信息,并无明显可疑信息
调用的DDL文件:PE Explorer比peid显示更加详细,它指出了DDL文件调用了哪些函数
版本信息:与VirusTotal大同小异
主要有以下几种方法:
点击软件右侧的take snapshot后start,开始捕获;点击stop停止并存储。
快照一(Snapshot #1):未移植后门程序
快照二(Snapshot #2):植入后门程序
快照三(Snapshot #3):运行后门程序并在kali中实现回连
快照四(Snapshot #4):执行websnam_snap命令
快照五(Snapshot #5):执行getuid命令
点击右下角的compare对比快照一和快照二。可以看到快照二新增了后门程序20175303_backdoor.exe,同时增删了其他文件。
比快照二三,即后门启动前后的变化,快照三中显示正在运行的程序增加了后门程序
同时增加了许多ddl文件,即动态链接库
(2)抓包分析(WireShark工具)
kali打开msf控制台运行监听程序,windows回联
kali获得命令窗口后输入dir后捕获的数据包
从数据包中可以看到源IP、目的IP、源端口、目的端口以及传输的数据等内容
输入mkdir xxx之后捕获到的数据包
问题1:sysmon运行不成功
解决:参考了杨元同学的sysmon运行步骤成功,之前为什么错,不是很清楚
问题2:systracer运行不成功,无法捕获数据包
解决:原来我用的不是码云上老师给的systracer工具,而是在官网上下载了一个32位的,重新下载安装后解决
这次实验对各种小工具的使用相当的多,而在我电脑上出问题是真不少,有的也是花了不少时间才解决。感觉这次实验主要的还是用的自己曾经生成过得后门,一直看的是他的相关信息,对它进行分析。但实际上如果不清楚哪些进程是病毒或木马,可能我找不到它,无法直接进行分析。通过日志或者软件记录进程,可能我也无法通过名称来判断他是否可疑,因为我看正常和不正常的进程名,没有什么区别,或许是我没学到这次实验的精髓吧。
2019-2020-2 20175303柴轩达《网络对抗技术》Exp4 恶意代码分析
标签:小娜 event 木马 log 安装 自己的 思路 虚拟机 镜像
原文地址:https://www.cnblogs.com/cxd20175303/p/12720665.html
