实践目标
-
监控你自己系统的运行状态,看有没有可疑的程序在运行。
-
是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
-
假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
实验后问题回答
-
1、如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
答:
-
2、如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
答:
实践总结与体会
实验过程记录
任务一:系统运行监控
利用任务计划程序
- 编写一个bat类型文件,用于存储命令行
date /t 1>>C:\Users\15205\Desktop\netstat5234.txt
time /t 1>>C:\Users\15205\Desktop\netstat5234.txt
netstat -bn
C:\Users\15205\Desktop\netstat5234.txt
-
新建任务,运行任务
-
右键“开始”图标,打开“计算机管理,打开“任务计划程序”,“创建任务”
-
填写名称,勾选最高权限运行,最好勾选不管用户是否登陆都要运行。新建触发器,更改任务执行间隔。新建操作,选择运行的程序(刚写的),可添加参数
netstat -bn > C:\Users\15205\Desktop\netstatlog.txt
(脚本文件中包含该命令,可以不写)。单击确定。
-
右键任务名“运行”
-
-
等待任务运行足够长的时间
-
新建excel文件,统计刚收集到的信息。
- 从“数据”标签下“获取外部数据”“自文本”导入数据
- 注意选择“最合适文件类型”:分隔符号,分隔符号选择“空格”和“Tab键”(推荐把":"作为其它加入,区分ip地址和端口),其余默认
-
采用excel自带的数据透视功能,分析数据
-
统计各程序联网次数
这里头“SearchUI.exe”连接网络次数贼多,查了一下原来是Cortana;360chrome.exe联网次数也很多,但是360这个疯狂联网我也不好说啥,也不知道360在干嘛(明明只有一个360浏览器,还没有开启,迷茫.jpg);再者Microsoft.Photos.exe也很显眼,网上浏览时发现该情况在win10系统普遍出现。 -
统计各外部ip地址连接次数
-
-
把外部ip复制到站长之家批量查询ip,就可以看到世界来自各地的连接了
利用sysmon工具
-
下载Sysinternals Suite并解压
-
根据sysmon工具的帮助文档编写配置文件
<Sysmon schemaversion="10.42">
<!--右键Sysmon.exe属性,查看版本号-->
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<ProcessCreate onmatch="exclude">
<Image condition="end with">360chrome.exe</Image>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">360chrome.exe</Image>
</FileCreateTime>
<!--把浏览器的进程都滤掉-->
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<!--滤掉源IP为127.0.0.1的网络连接和目的端口为137的连接-->
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<!--将端口号为80、443的网络连接纳入统计-->
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>
-
新建txt文件
20175234.txt
,把以上复制到里头去,然后改成改为xml格式 -
以“管理员身份”运行cmd,进入Sysmon.exe所在文件夹
-
Sysmon.exe -i C:\Users\15205\Desktop\20175234zsy.xml
安装sysmon
-
点击同意证书后,cmd就会显示如图
-
右键“开始”图标,打开计算机管理,事件查看器,应用程序和服务日志下/Microsoft/Windows/Sysmon/Operational目录,就可以看到sysmon捕获的信息啦
-
找一个事件看一下,主机名啊IP地址啊应用程序啊具体的操作啊就很清楚的被记录下来了
任务二:恶意软件分析
静态分析
- 常见方法:恶意代码扫描、文件格式
好像是说,经常往virustotal上传恶意代码,ip地址都会被标记下来