20155204 王昊《網絡對抗技術》EXP4

一、實驗後回答問題

（1）如果在工作中懷疑一台主機上有惡意代碼，但隻是猜想，所有想監控下系統一天天的到底在幹些什麼。請設計下你想監控的操作有哪些，用什麼方法來監控。

• 用schtasks指令監控系統的聯網記錄。
• 用sysmon檢視程序資訊。
• 用wireshark抓取網絡連接配接包，可以看到與誰進行了通信。

（2）如果已經确定是某個程式或程序有問題，你有什麼工具可以進一步得到它的哪些資訊。

• 使用Process Explorer分析惡意軟體的基本資訊以及依賴的dll庫。
• 使用virscan、virustotal分析惡意軟體的危險程度以及行為。

二、實驗總結與體會

這次實驗是告訴我們如何分析惡意代碼，讓我們學到如何發現并分析惡意代碼的惡意，很有用。這次用到了許多工具，剛開始做實驗還是本着學會這些工具去的，用完之後看看老師的要求才發現這等于沒做啊，這才看着截圖來學分析，不得不說還是分析更有意義些。

三、實踐過程記錄

使用schtasks指令監控系統運作

1.先在C槽目錄下建立一個netstatlog.bat檔案，用來将記錄的聯網結果格式化輸出到netstatlog.txt檔案中.

2.netstatlog.bat内容為：

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
           

3.打開cmd輸入

schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "c:\netstatlog.bat"

，指令會建立一個任務每隔五分鐘記錄計算機聯網。

4.過一段時間可以看到txt檔案中的記錄。

![] (https://images2018.cnblogs.com/blog/1071529/201804/1071529-20180418143655792-781796717.png)

使用sysmon工具監控系統運作

1.在網上下載下傳了sysmon的7.01版本，然後配置檔案如下：

<Sysmon schemaversion="7.01">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<DriverLoad onmatch="exclude">
  <Signature condition="contains">microsoft</Signature>
  <Signature condition="contains">windows</Signature>
</DriverLoad>

<NetworkConnect onmatch="exclude">
  <Image condition="end with">YoudaoNote.exe</Image>
  <Image condition="end with">UCBrowser.exe</Image>
  <Image condition="end with">WeChat.exe</Image>
  <SourcePort condition="is">137</SourcePort>
</NetworkConnect>

<CreateRemoteThread onmatch="include">
  <TargetImage condition="end with">explorer.exe</TargetImage>
  <TargetImage condition="end with">svchost.exe</TargetImage>
  <TargetImage condition="end with">winlogon.exe</TargetImage>
  <SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
  </EventFiltering>
</Sysmon>
           

2.使用sysmon -accepteula –i指令對sysmon進行安裝。

3.啟動後門程式後，用事件檢視器可以檢視相應日志。

使用virscan、virustotal分析惡意軟體

1.掃描剛剛的後門程式，可以看到行為分析以及查毒。

• virscan掃描

  

  

• virustotal

  

  

使用systracer工具分析惡意軟體

1.使用systracer工具建立了4個快照，分别是在主機中沒有惡意軟體時、将惡意軟體植入到目标主機中後、惡意軟體啟動回連時、使用惡意軟體擷取目标主機權限時：

2.一、二相比較沒有找到我的後門程式www.exe，我是直接從虛拟中把檔案拖了出來，不知道有沒有影響。

3.二、三比較找到了這個程式，系統資料庫有變化

4.三、四比較則找到了這個程式調用主機端口、添加注冊資訊的痕迹。

• 具體分析

• wow64cpu.dll、wow64win.dll：來自Microsoft Corporation。它可以被發現在C:\位置。這是一個潛在的安全風險，它能被病毒惡意修改。

  ：同上。

• ntdll.dll：描述了windows本地NTAPI的接口。當Windows啟動時，ntdll.dll就駐留在記憶體中特定的寫保護區域，使别的程式無法占用這個記憶體區域。參考20145326馮佳學姐的說法，才明白後門程式是調用了ntdll.dll中的函數實作的。ntdll.dll中的函數使用SYSENTRY進入ring0，也就是最進階别的權限。十分危險。

使用wireshark分析惡意軟體回連情況

1.設定過濾規則找到後門程式回連的過程，發現其三次握手以及資料通信過程。

使用Process Explorer分析惡意軟體

1.在虛拟機下通過PE explorer打開檔案20145236_backdoor.exe，可以檢視PE檔案編譯的一些基本資訊，導入導出表等。

如下圖，可以看到該檔案的編譯時間、連結器等基本資訊：

2.如下圖，點選“導入表”，可以檢視該檔案依賴的dll庫：

• 具體分析;
• WSOCK32.dll和WS2_32.dll，是用來建立套接字的dll庫。掃描程式可以根據程式功能描述和這個庫相比對來得到程式是否有計劃外的聯網行為。

• ADVAPI32.dll庫百度可知：是一個進階API應用程式接口服務庫的一部分，包含的函數與對象的安全性，系統資料庫的操控以及事件日志有關。這個屬于惡意代碼的标志吧，動不動就要操作系統資料庫，肯定有問題。

  另外2個不做過多介紹，屬于一般程式在win下都會調用的dll庫。