2018-2019-2 网络对抗技术 20165314 Exp4 恶意代码分析

一.原理与实践说明

系统运行监控
- 使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果。
- 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点事可疑行为。
分析该软件在(1)启动回连，(2)安装到目标机(3)及其他任意操作时（如进程迁移或抓屏，重要是你感兴趣）。该后门软件
- 读取、添加、删除了哪些注册表项
- 读取、添加、删除了哪些文件
- 连接了哪些外部IP，传输了什么数据

问：如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。
使用windows自带的schtasks指令设置一个计划任务，每隔一定的时间对主机的联网记录等进行记录。
- 使用sysmon工具，通过修改配置文件，记录相关的日志文件。
- 使用Process Explorer工具，监视进程执行情况。
问：如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。
- 使用Wireshark进行抓包分析，监视其与主机进行的通信过程。
- 使用systracer工具分析恶意软件。
  
  二.实践过程记录

使用schtasks /create /TN netstat5314 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令创建计划任务netstat5314，如下图所示：

其中，TN是TaskName的缩写，我们创建的计划任务名是netstat5314；sc表示计时方式，我们以分钟计时填MINUTE；TR=Task Run，要运行的指令是 netstat -bn,b表示显示可执行文件名，n表示以数字来显示IP和端口。

date /t >> c:\netstat5314.txt
time /t >> c:\netstat5314.txt
netstat -bn >> c:\netstat5314.txt

如有需要，查看这些可疑的外网IP即可。

扫描二维码关注公众号，回复： 5801428 查看本文章

sysmon是微软Sysinternals套件中的一个工具，使用sysmon工具前首先要配置文件。根据老师的要求，最少要记录Event 1,2,3三个事件。即进程创建、进程创建时间、网络连接，如下图所示：
参考使用轻量级工具Sysmon监视你的系统这篇文章，创建配置文件Sysmon20165314.xml。
使用Sysmon.exe -i C:\Sysmon20165314.xml安装sysmon。
对配置文件进行修改，将自己感兴趣的过滤器事件和过滤器事件的选项写入。（使用xml文档，是因为其可以按照标签进行缩进和显示，使用Notepad++打开后一目了然。）我修改的配置文件如下：

恶意软件分析
静态分析
- 文件扫描（VirusTotal、VirusScan工具等）
- 文件格式识别（peid、file、FileAnalyzer工具等）
- 字符串提取（Strings工具等）
- 反汇编（GDB、IDAPro、VC工具等）
- 反编译（REC、DCC、JAD工具等）
- 逻辑结构分析（Ollydbg、IDAPro工具等）
- 加壳脱壳（UPX、VMUnPacker工具等）
  
  3、使用VirusTotal分析恶意软件
把生成的恶意代码放在VirusTotal进行分析，基本情况如下：
查看这个恶意代码的基本属性：
可以看出它的SHA-1、MD5摘要值、文件类型、文件大小，以及TRiD文件类型识别结果。（注：TRiD通过读取文件头，根据特征码进行文件类型匹配。）
还可以看到加壳情况：
以及该恶意代码的算法库支持情况：

PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470种PE文档的加壳类型和签名。

不难看出，这个软件虽然可以查到压缩壳，但是查不到加密壳

Process Monitor 是一款由 Sysinternals 公司开发的包含强大的监视和过滤功能的高级 Windows 监视工具，可实时显示文件系统、注册表、进程/线程的活动。