标签:防止 技术 详细信息 ret 操作系统 权限 安装 选项卡 cap
任务一:使用schtasks指令监控系统(使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果)
任务二:使用sysmon工具监控系统(安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。)
任务三:恶意软件分析
使用系统自带的schtasks监控系统,并将其输出存放到一个文件当中。输入命令schtasks /create /TN netstat5206 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\20175206\netstatlog.txt"
TN是TaskName的缩写,本次实验任务名是netstat5206;
sc表示计时方式,以分钟计时填MINUTE;
TR是Task Run,要运行的指令是netstat
bn,b表示显示可执行文件名,n表示以数字来显示IP和端口;
>
表示输出重定向,将输出存放在c:\20175206\netstatlog.txt文件中
在C盘中创建一个名为netstat5206.bat的脚本文件,写入以下内容:
date /t >> c:\20175206\netstat5206.txt
time /t >> c:\20175206\netstat5206.txt
netstat -bn >> c:\20175206\netstat5206.txt
右键此电脑-管理
调出任务计划程序,找到对应的计划
选中任务,找到操作,点击属性选项,找到操作选项卡,双击详细信息,把框中原本的cmd改成c:\20175206\netstat5206.bat
在常规 栏勾选不管用户是否登录都要运行、使用最高权限运行,并等待脚本执行一段时间(保持联网)
在netstat5206.txt
中即可找到联网信息,并进行整理。
数据透视化得
从数据中我们可以分析,排名第一的是TCP,因为我们一直处于联网状态,其次则是360se.exe,sesvc.exe和excel表格,因为我们刚才在做数据透视图,并且同时在写博客,除此之外,还有360安全卫士以及微信,百度网盘等程序在运行,因为没有开启其他程序的缘故,其他进程并没有占据多少进程,任务一分析完毕。
<Sysmon schemaversion="10.42">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
</ProcessCreate>
<ProcessCreate onmatch="include">
<ParentImage condition="end with">cmd.exe</ParentImage>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">chrome.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">firefox.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
其中
exclude——白名单。
include——黑名单。
onmatch——匹配
ProcessCreate——进程创建
NetworkConnect——网络连接
CreateRemote——远程线程创建。
FileCrete Time——进程创建时间
这里我们分析explorer.exe、svchost.exe、firefox.exe、winlogon.exe和powershell.exe 的远程线程:
explorer.exe是Windows程序管理器或者文件资源管理器
svchost.exe是一个属于微软Windows操作系统的系统程序,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
winlogon.exe是Windows NT 用户登陆程序,用于管理用户登录和退出。
powershell.exe是专为系统管理员设计的新 Windows 命令行外壳程序。
sysmon.exe -i E:\网络对抗软件\网络对抗\Sysmon\sysmon20175206.xml
,成功安装结果如下:sysmon20175206.xml
创建成功的字样,这同样是我们做的最后一步操作我们可以看到sysmon可以用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息,那么我们可以使用这些信息来查看电脑上是否有恶意软件作祟,并对此做出相应的处理和防护。
(1)读取、添加、删除了哪些注册表项
(2)读取、添加、删除了哪些文件
(3)连接了哪些外部IP,传输了什么数据(抓包分析)
1.没有经过任何操作的系统
2.放入后门程序的系统
3.在后门中启动监控后的系统
这里先给出一个截图证明后门已经启动成功,获取文件信息
对比快照一和快照二
我们直接调到最后方,那里是文件修改最明显的地方,即我们将后门程序移入,其中某些注册表已经遭受到改动,但还没有启动
对比快照二和快照三(启动后门程序)
我们可以看到20175206.exe这个后门程序已然运行,其对注册表和文件进行了多个修改,有一些DLL进程我并不知道是不是这个后门带来的,也就无法进行分析。
抓捕运行后门程序时的网络包
我们可以看到,在三次握手结束之后,开始了数据的传输,这个过程即是获取文件信息的过程,以TCP方式的包进行传播,kali后门系统不断向后门主机发送请求,后门主机win7响应信息。
(PS:192.168.64.144为kaliIP,192.168.64.148为win7 ip)
Wireshark显示【TCP ZeroWindow】,这个时候,对方不能再发送数据。意为我后门主机可以随时决定你的信息能否传达,这也是一个防止反向控制的保证措施。
使用一些软件分析这个后门程序(静态)
PEID
我们可以直接看到其属性是yoda‘s Protector v1.02 (.dll,.ocx) -> Ashkbiz Danehkar (h) [Overlay] *
,显然其是一个记录在案的后门程序
Explorer
我们使用程序分析我们之前的后门程序得到了警告,发现其正向其他文件进行输入,我们可以从中看到其后门的生成时间和后门系统的控制权限以及版本,这对我们进一步处理系统更为重要。
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
2019-2020-4 网络对抗技术 20175206李得琛 Exp4 恶意代码分析
标签:防止 技术 详细信息 ret 操作系统 权限 安装 选项卡 cap
原文地址:https://www.cnblogs.com/ldc175206/p/12727870.html