20145239杜文超《網絡對抗》- 惡意代碼分析

20145239杜文超《網絡對抗技術》- 惡意代碼分析

實驗後回答問題

1.如果在工作中懷疑一台主機上有惡意代碼，但隻是猜想，所有想監控下系統一天天的到底在幹些什麼。請設計下你想監控的操作有哪些，用什麼方法來監控。

（1）使用計劃任務schtasks指令動态監控系統運作

（2）使用sysmon工具動态監控系統運作

2.如果已經确定是某個程式或程序有問題，你有什麼工具可以進一步得到它的哪些資訊。

（1）使用systracer工具進行快照分析系統資料庫資訊、檔案行為等資訊的變化

（2）把程式放在virscan上檢測檢視行為報告

實驗總結與體會

這次的實驗我認識并學會了許多惡意代碼的檢測監控軟體，熟悉了他們的用途和使用方法，也從前兩次惡意代碼的制作者的角色轉變為一個防禦者的角色。這使我對惡意代碼的認識更加深入，對其防範和檢測有了更多經驗。

惡意代碼靜态分析

1、使用http://www.virscan.org/網站

• 以免殺實驗中實驗中使用Veil-Evasion生成的test2_5239為例：

• 點選行為分析，檢視這個惡意代碼的行為。

• 這個代碼由PACKER:UPolyX v0.5加的殼。

• 可以建立程序，建立檔案，修改檔案等等。

• 可以删除系統資料庫，建立對象。

2、使用PEiD查殼工具分析軟體

• 奇怪的是結果是nothing found，翻看了同學的部落格發現大家的結果大同小異，查不出問題的原因可能是這可能是一個壓縮殼工具。

惡意代碼動态分析

1、使用計劃任務schtasks

• 建立netstatlog.bat檔案netstat5239.bat（重命名時注意是把拓展檔案名txt改成bat），用于記錄聯網内容：

date /t >> d:

etstat5239.txt

time /t >> d:

etstat5239.txt

netstat -bn >> d:

etstat5239.txt

• 在指令行中輸入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "d:

  etstat5239.bat"建立任務，每隔兩分鐘記錄聯網内容

• 但是要注意你用cmd建立的這個觸發器可能會有權限不夠的情況

• 這時你可以進入控制台、管理工具、任務計劃程式庫找到這個觸發器，并且勾選最高權限，這樣就可以了。

• kali回連後門後檢視監控記錄，發現了惡意代碼的可疑行為：

2、sysmon工具監控系統運作

• 在Sysmon.exe目錄下建立檔案：20145239.xml，輸入老師給出的代碼
• 管理者身份運作CMD，輸入指令：Sysmon.exe -i 20145239.xml，進行安裝，并配置xml：Sysmon.exe -c 20145239.xml

• 設定好上述，可以進入Applications and Services Logs/Microsoft/Windows/Sysmon/Operational檢視日志，需等待加載，回連并查找可疑的後門程式
• 被我的火眼金睛發現了

3、使用SysTracer工具分析惡意軟體

1.一開始在目标主機上進行快照儲存為Snapshot #1；

2.在虛拟機中生成後門軟體，将檔案傳到目标主機後快照儲存為Snapshot #2；

3.在虛拟機開啟監聽的情況下，在目标主機運作後門程式後快照儲存為Snapshot #3；

4.在虛拟機對目标主機進行截圖後在目标主機中快照儲存為Snapshot #4；

5.在虛拟機擷取目标主機攝像頭并拍照後在目标主機快照儲存為Snapshot #5.

• 對比#1和#2，發現主機上多了後門程式

• 對比#2、#3發現注冊清單被修改了

• 截圖後，對比#3和#4

• 用攝像頭拍照後，發現新增了照片，驅動清單也有變化，應該是調用了攝像頭的驅動。