1.実用的な目標と内容の概要
1.練習目標
- 疑わしいプログラムが実行されているかどうかを確認するために、独自のシステムの実行ステータスを監視します。
- マルウェアを分析するには、Exp2またはExp3で生成されたバックドアソフトウェアを分析します。分析ツールは、ネイティブ命令またはsysinternals、systracerスイートをできるだけ使用します。
- ホストに今後の作業で問題があると思われる場合、このアイデアを実験で使用し、まずシステム全体を監視して不審なオブジェクトが検出されるかどうかを確認し、次にさらに不審なオブジェクトを分析して特定の動作と性質を確認できます。
2.練習内容
-
2.1システム稼働監視
- (1)スケジュールされたタスクなどを使用して、コンピューター上にあるプログラム、および接続されている外部IPがどこにあるかを毎分記録します。しばらく実行してファイルを分析し、分析結果を要約します。目標は、ネットワークに接続されたすべてのプログラム、それらが接続されている場所、およびそれらが行ったことを見つけることです(パケットをキャプチャしない場合にのみ推測できます)そうすることは適切だと思いますか?さらに分析する場合は、対象となるパケットをキャプチャできます。
- (2)sysinternalsにsysmonツールをインストールして構成し、適切な構成ファイルを設定して、ホストのメインホストの疑わしい動作を監視します。
- リファレンス:schtaskおよびsysmonアプリケーションガイド
-
2.2マルウェア分析:(1)接続の開始、(2)ターゲットマシンへのインストール(3)およびその他の任意の操作(プロセスの移行や画面キャプチャなど)のときにソフトウェアを分析します。バックドアソフトウェア
- 読み取り、追加、削除されたレジストリキー
- どのファイルが読み取られ、追加され、削除されたか
- 接続されている外部IPと送信されるデータ(キャプチャ分析)
2.練習内容
1.システム稼働監視
1.1 schtasksコマンド監視システムを使用する
schtasks /create /TN schtasks5215 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
コマンドを使用してスケジュールされたタスクを作成するschtasks5215
TN
TaskNameの省略形ですschtasks5215
。作成されるスケジュール済みタスクの名前はです。sc
タイミングモードを意味し、分単位で入力する必要がありMINUTE
ます。TR=Task Run
、実行するコマンドはnetstat
bn
、b
実行可能ファイル名n
が表示されることを示し、IPおよびポートが数字で表示されることを示します。>
出力のリダイレクトを表し、出力をc:\netstatlog.txt
ファイルに保存します
- 作成し
netstat5215.txt
たファイルを、次のように書き込み、
date /t >> c:\netstat5215.txt
time /t >> c:\netstat5215.txt
netstat -bn >> c:\netstat5215.txt
次に、.txt
サフィックス名を.bat
- タスクスケジューラを開くと、この新しく作成されたタスクを確認できます。
- このタスクをダブルクリックし、[操作と編集]をクリックしてから、タブの編集を操作してプログラムを開始し、プログラムまたはスクリプト
cmd
をnetstat5303.bat
- 他の属性を自分で変更する
- タスクを実行して
schtasks5215
、バックグラウンドデータの記録を開始し、コンピューターを通常の使用状態に保ちます。約2時間後、Cドライブディレクトリを開いnetstat20175215.txt
てデータを表示します
- Excelで整理
- 統計は次のとおりです。
- 統計チャートは次のとおりです。
- 統計は次のとおりです。
- 分析
- 一般的な申請プロセス
- QQBrowser.exe:QQブラウザープロセス
- qmbrowser.exe:QQブラウザーの子プロセス
- javaw.exe:Sun Microsystemsに関連するネットワークプロトコルソフトウェア。通常Internet Explorerに基づいて動作します。
- TIM.exe:QQ Office Editionのプロセス
- BaiduNetdiskHost.exe:Baiduネットワークディスクサービスプロセス
- wps.exe:wpsファイルのプロセス。
- その他のプロセス
- AppleMoblieDeviceService.exe、vmware-hosted、QQMusic.exe等
- 一般的な申請プロセス
1.2 sysmonツールを使用してシステムを監視する
- sysmonはMicrosoft Sysinternalsスイートのツールです。sysmonツールを使用する前に、まずファイルを構成する必要があります。軽量ツールSysmonを使用してシステムを監視し、構成ファイルを作成する方法については、この記事を参照してください
sysmon20175215.xml
。 - 選択可能なイベントフィルターは、ProcessCreateプロセスの作成、FileCreateTimeプロセスの作成時間、NetworkConnectネットワークリンク、ProcessTerminaプロセスの終了、DriverLoadドライバーのロード、ImageLoadイメージのロード、CreateRemoteThリモートスレッドの作成、RawAccessReadドライバーの読み取り、ProcessAccessプロセスアクセス、FileCreateファイルの作成、 RegistryEventレジストリイベント、FileCreateStreファイルストリームの作成など。
- 作成された構成ファイルsysmon20175215.xmlの内容はコードクラウドリンクです
- sysmon:をインストール
sysmon.exe -i C:\Users\Administrator\Sysmon\sysmon20175215.xml
します。インストールが成功すると、次のようになります。
- 「イベントビューア」を確認し、ログの場所を選択し
应用程序和服务日志/Microsoft/Windows/Sysmon/Operational
ます。構成ファイルの要件、およびイベントID、タスクカテゴリ、詳細情報などに従って記録された新しいイベントがあります。
- この構成ファイルによって記録された最初のログが開かれます
C:\Users\Administrator\Sysmon\sysmon20175215.xml配置文件
- そして背後にあるコンテンツ
- シェル、getuid、その他のコマンドを実行した後、C:\ Windows \ SysWOW64 \ cmd.exeプログラムが以前に表示されていないことがわかりました。 cmd.exeは64ビットです。
2.マルウェア分析
-
静的分析
- ファイルスキャン(VirusTotal、VirusScanツールなど)
- ファイル形式の認識(peid、ファイル、FileAnalyzerツールなど)
- 文字列抽出(文字列ツールなど)
- 分解(GDB、IDAPro、VCツールなど)
- 逆コンパイル(REC、DCC、JADツールなど)
- 論理構造分析(Ollydbg、IDAProツールなど)
- パックとアンパック(UPX、VMUnPackerツールなど)
-
(1)VirusTotalを使用してマルウェアを分析する
- 生成された悪意のあるコードを分析のためにVirusTotalに配置します。基本的な状況は次のとおりです。
- 基本情報:SHA-1、MD5ダイジェスト値、ファイルタイプ、ファイルサイズ、およびTRiDファイルタイプの認識結果を確認できます。
- そして、悪意のあるコードのアルゴリズムライブラリサポート:
- 生成された悪意のあるコードを分析のためにVirusTotalに配置します。基本的な状況は次のとおりです。
-
(2)PEiDを使用してマルウェアを分析する
PEiD(PE Identifier)はよく知られているシェルチェックツールであり、その強力な機能はほとんどすべてのシェルを検出でき、その数は470種類を超えるPEファイルのパッキングタイプとシグネチャを超えています。- シェルなしでバックドアを検出する
- UPXパッキングのバックドアプログラムを検出する
- Hyperionパッキングのバックドア手順の検出
- 検出はほとんど正常ですが、Hyperion暗号化シェルが見つかりません
- シェルなしでバックドアを検出する
-
(3)Wiresharkを使用してパケットをキャプチャし、マルウェアを分析する
- Wiresharkフィルターにフィルター条件を入力して
ip.addr == 192.168.30.135
、関連するプロトコルパケット情報を表示します - KingシステムとWindowsシステムが一緒にpingするときのICMPパッケージ
- MSFバウンス接続中のTCPパケット
- getuidを使用してサーバーを実行しているユーザーを表示すると、SearchUIが起動します。
- Wiresharkフィルターにフィルター条件を入力して
SP1。実験後の質問の回答と経験
1.実験後の質問回答
- (1)職場のホストで悪意のあるコードが疑われるが、推測しただけの場合は、システムが毎日行っていることを監視したいだけです。監視したい操作と監視方法を設計してください。
- Windowsに付属のschtasksコマンドを使用して、スケジュールされたタスクを設定し、ネットワーク接続が異常であることを確認します
- Sysmonおよびその他のプログラムを使用して構成ファイルを書き込み、関連するシステムログを記録する
- プロセスエクスプローラー、プロセスモニター、およびその他のツールを使用して、プロセスアクティビティを監視します。
- (2)プログラムまたはプロセスに問題があると判断した場合、それについてさらに情報を得るにはどのツールが必要ですか?
- systracerツールを使用してマルウェアを分析し、レジストリとファイルへの変更を表示します。
- Wiresharkを使用して、パケットキャプチャを分析し、ホストとの通信プロセスを監視します。
- Process ExplorerツールまたはProcess Monitorツールを使用して、ファイルシステム、レジストリ、プロセス/スレッドのアクティビティを監視します。
2.実験経験
この実験は比較的単純です。コンテンツは主にコンピューターを監視し、潜在的な悪意のあるコードを見つけることで、この実験の保護と監視に焦点を当てています。さまざまなツールを使用してシステムをテストします。しかし、私はいくつかのバックドアプログラムの使用について少し錆びていますが、この知識を使用して適用する必要があります。
SP2。リファレンス
1. schtaskおよびsysmonのアプリケーションガイダンス
2. 2018-2019-2ネットワーク対策テクノロジー20165318 Exp4悪意のあるコードの分析
3. 悪意のあるコードの分析