2019-2020-2 20175234 赵诗玥《网络对抗技术》Exp4 恶意代码分析

实践目标
实验后问题回答
实践总结与体会
实验过程记录
- 任务一：系统运行监控
  - 利用任务计划程序
  - 利用sysmon工具
- 任务二：恶意软件分析
  - 静态分析
  - 动态分析
参考资料
END

实践目标

监控你自己系统的运行状态，看有没有可疑的程序在运行。
是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

实验后问题回答

1、如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

答：
2、如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

答：

实践总结与体会

实验过程记录

任务一：系统运行监控

利用任务计划程序

编写一个bat类型文件，用于存储命令行

date /t  1>>C:\Users\15205\Desktop\netstat5234.txt 

time /t  1>>C:\Users\15205\Desktop\netstat5234.txt 

netstat -bn

C:\Users\15205\Desktop\netstat5234.txt

新建任务，运行任务
- 右键“开始”图标，打开“计算机管理，打开“任务计划程序”，“创建任务”
- 填写名称，勾选最高权限运行，最好勾选不管用户是否登陆都要运行。新建触发器，更改任务执行间隔。新建操作，选择运行的程序（刚写的），可添加参数netstat -bn > C:\Users\15205\Desktop\netstatlog.txt（脚本文件中包含该命令，可以不写）。单击确定。
- 右键任务名“运行”
等待任务运行足够长的时间
新建excel文件，统计刚收集到的信息。
- 从“数据”标签下“获取外部数据”“自文本”导入数据
- 注意选择“最合适文件类型”：分隔符号，分隔符号选择“空格”和“Tab键”（推荐把"："作为其它加入，区分ip地址和端口），其余默认
采用excel自带的数据透视功能，分析数据
- 统计各程序联网次数
  
  这里头“SearchUI.exe”连接网络次数贼多，查了一下原来是Cortana；360chrome.exe联网次数也很多，但是360这个疯狂联网我也不好说啥，也不知道360在干嘛（明明只有一个360浏览器，还没有开启，迷茫.jpg）;再者Microsoft.Photos.exe也很显眼，网上浏览时发现该情况在win10系统普遍出现。
- 统计各外部ip地址连接次数
把外部ip复制到站长之家批量查询ip，就可以看到世界来自各地的连接了

利用sysmon工具

下载Sysinternals Suite并解压
根据sysmon工具的帮助文档编写配置文件

<Sysmon schemaversion="10.42">
<!--右键Sysmon.exe属性，查看版本号-->
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
  
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">360chrome.exe</Image> 
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">360chrome.exe</Image>
    </FileCreateTime>
<!--把浏览器的进程都滤掉-->

    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>
<!--滤掉源IP为127.0.0.1的网络连接和目的端口为137的连接-->
    <NetworkConnect onmatch="include">
      <DestinationPort condition="is">80</DestinationPort>
      <DestinationPort condition="is">443</DestinationPort>
    </NetworkConnect>
<!--将端口号为80、443的网络连接纳入统计-->

<CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

新建txt文件20175234.txt，把以上复制到里头去，然后改成改为xml格式
以“管理员身份”运行cmd，进入Sysmon.exe所在文件夹
Sysmon.exe -i C:\Users\15205\Desktop\20175234zsy.xml安装sysmon
点击同意证书后，cmd就会显示如图
右键“开始”图标，打开计算机管理，事件查看器，应用程序和服务日志下/Microsoft/Windows/Sysmon/Operational目录，就可以看到sysmon捕获的信息啦
找一个事件看一下，主机名啊IP地址啊应用程序啊具体的操作啊就很清楚的被记录下来了