中小微企业查询网站,国平seo,学做文案的网站,网站建设任务分解20155339 Exp4 恶意代码分析 实验后回答问题 #xff08;1#xff09;如果在工作中怀疑一台主机上有恶意代码#xff0c;但只是猜想#xff0c;所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些#xff0c;用什么方法来监控。 监控网络连接。当某个… 20155339 Exp4 恶意代码分析 实验后回答问题 1如果在工作中怀疑一台主机上有恶意代码但只是猜想所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些用什么方法来监控。 监控网络连接。当某个系统进程出现多个时重点监控。监控注册表的变化。监控未知的IP的异常频率的连接。监控系统日志的变化。2如果已经确定是某个程序或进程有问题你有什么工具可以进一步得到它的哪些信息。 创建计划任务跟踪该进程的网络连接。使用Systracer拍摄系统的多个快照并对不同的时刻拍下的快照进行对比分析改变的注册表的变化。wireshark监视该程序的数据包。用Process Explorer获取其命令行路径连接的端口号以及本机开放的端口号等信息。实验总结与体会 通过本次实验解除了上次实验的忧虑学习了怎么查看系统的状态以及分析恶意代码的存在。植入后门或许并不难所以对于系统的状态以及后门的分析就尤为重要了比起后门攻击分析略显枯燥但是分析确极其重要。 实践过程记录 GE_Windows计划任务schtasks 开始创建任务首先建立一个文本文档用于输出结果复制到C盘。使用C:\schtasks /create /TN netstat /sc MINUTE /MO 5 /TR cmd /c netstat -bn c:\netstatlog.txt命令来实现每五分钟每记录一下有哪些程序在连接网络若需要实现一分钟记录一次则将MO 5改为MO 1即可对相关参数进行分析
/TN taskname 指定唯一识别这个计划任务的名称。
/S system 指定要连接到的远程系统。如果省略这个系统参数默认是本地系统。
/SC schedule 指定计划频率。有效计划任务: MINUTE、 HOURLY、DAILY、WEEKLY、 MONTHLY, ONCE, ONSTART, ONLOGON, ONIDLE, ONEVENT.
/MO modifier 改进计划类型以允许更好地控制计划重复周期。有效值列于下面“修改者”部分中。 /TR taskrun 指定在这个计划时间运行的程序的路径和文件名。 出现下图所示则新建成功但是即使这样发现netstatlog.txt并没有变化打开控制面板找到任务计划点击属性发现需要更改一些设置首先选择使用常规中的“最高权限运行”然后将条件里的条件中的如下两个条件去掉。 现在就可以看到每五分钟就会进行一次记录。我们再加工一下在C盘要目录下建一个文件c:\netstatlog.bat内容如下date /t c:\netstatlog.txt
time /t c:\netstatlog.txt
netstat -bn c:\netstatlog.txt 可以在图形界面打开计划任务将其中每5分钟执行的指令从cmd /c netstat -bn c:\netstatlog.txt替换为“c:\netstatlog.bat”。更改完后我们在netstatlog.txt中会看到如下的输出多了日期与时间这样看起来更方便。 放了一天多我将其导入到excel中去具体导入方法就是在Excel的数据中选择从文本文档导入然后选择分隔符号再将所有分割符号选上并且在其他后键入“”完成。然后对数据进行了一个透视分析这里我是按降序进行排列柱状图则更明显的突出了对外连接最多的程序对其中的几个进行分析。这个wpscloudsvr.exe格外多啊但是看样子是个WPS的什么云服务搜了一下是WPS热点这个真的很讨厌每次都是手动关闭看来关的不够彻底进入控制面板将其文件位置找出关闭该程序并且删了它。接下来是SogouExplorer.exe这次之后打算改用火狐了这个随便连接的次数也太多了点我的流量啊。vmware-hostd.exe这个其实是VMware的一个服务端网上说是可以关闭的不影响正常使用我这种小白还是留着它吧。devenv.exe这是什么呢原来是是程序开发平台Microsoft Visual Studio 用户界面程序开发者在这个界面进行设计开发调试工作那也是没问题的。ComputerZTray.exe是鲁大师的硬件核心服务也是正常软件SGTool.exe搜狗输入法的加速程序xmp.exe迅雷看看播放器DsmSvc使这个可以加速应用程序的启动速度如果禁用会加快系统启动速度。也就是说你要做个取舍了是要启动速度还是要以后软件的加载速度。当然还有我的backdoorc3.exe这个网上当然是搜不到的放到virscan上查杀率当然意料之中的高当然是个病毒。对连接次数超过10的IP进行一个批量搜索。 大的公司像联通、移动这种应该没问题对几个我觉得可疑的无法想象自己为什么会连到这些地方的IP进行了一个搜索首先对美国的这个进行一次搜索吧我也没点什么国外的网站啊。首先将其在我的数据中进行一次搜索看看它是什么程序的IP搜索发现是vmware对那就应该是可信的了。 再对这两个进行个搜索吧。同样先回到我的数据中进行搜索原来WPS热点是这几家公司 再看看这是什么吧是devenv.exe进程上网搜索过了是VS的一部分用于应用程序开发那就没问题了看来我的电脑没什么问题。 VirScan 把我的后门软甲放到VirScan上扫描一下不出所料22%的查杀率。可以看到它选择了MD5和sha-1来进行哈希摘要可能在编码的过程中使用了这两个算法。尝试获取别的信息点击任意一个扫描结果看看会有什么别的发现。 并没有什么太大的发现但是发现了大家放到VirScan上扫描的自己生产的后门软件看来查到的病毒都是一样的。Sysmon Sysmon是微软Sysinternals套件中的一个工具。可以监控几乎所有的重要操作。配置好文件之后开始安装sysmon先从老师的附件里面下载文件名为SysinternalsSuite201608其中包括了Sysmon.exe等安装命令为sysmon.exe -i 配置文件名。首先对老师的配置文件进行学习编写了自己的配置文件需要注意的是exclude相当于白名单不用记录而include相当于黑名单。在语法上需要注意一一对应比如SourceIp xxx要与/SourceIp对应我在编写的过程中忽略了这一点直接从上面复制下来就出现了错误。关于我的配置文件我将搜狗浏览器加入了白名单与此同时对于80端口的HTTP和443端口的HTTPS当然还需要包括我的5339端口了具体如下
Sysmon schemaversion3.10!-- Capture all hashes --HashAlgorithms*/HashAlgorithmsEventFiltering
!-- Log all drivers except if the signature --
!-- contains Microsoft or Windows --
DriverLoad onmatchexcludeSignature conditioncontainsmicrosoft/SignatureSignature conditioncontainswindows/Signature
/DriverLoadNetworkConnect onmatchexcludeImage conditionend withSogouExplorer.exe/ImageImage conditionend withiexplorer.exe/Image
/NetworkConnectNetworkConnect onmatchincludeDestinationPort conditionis80/DestinationPortDestinationPort conditionis443/DestinationPortDestinationPort conditionis5339/DestinationPort
/NetworkConnectCreateRemoteThread onmatchincludeTargetImage conditionend withexplorer.exe/TargetImageTargetImage conditionend withsvchost.exe/TargetImageTargetImage conditionend withwinlogon.exe/TargetImageSourceImage conditionend withpowershell.exe/SourceImage
/CreateRemoteThread/EventFiltering
/Sysmon但是这里需要注意我们需要使用管理员身份打开cmd.接下来就可以成功安装了。在这里学到一招如果我们要切换盘符的目录正确的用法是在cd 和路径中间 增加一个/d例如我想切换到F盘就需要输入cd /d f:就可以了直接cd是不可以的。打开控制面板打开事件查看日志依次点击应用程序和服务日志-Microsoft-Windows-Sysmon-Operational大量的数据或许并不有利于我们分析所以我用筛选器对数据进行了一次筛选。创建了一个搜狗表情工具。Excel文件发生了变化。使用systracer工具分析恶意软件 1.在正常情况即没有后门程序的情况下对Windows进行快照。 2.在将后门程序拷入主机之后进行快照。 3.回连成功后进行一次快照。 快照结果进行对比分析 1和2进行对比只观察不同的部分由下图可以看出注册表发生了变化首先修改了了很多键值这些键值包括显示控制系统和软件的处理键下的子键、当前用户的配置数据信息等。增加了HKEY_LOCAL_MACHINE下的一些子键值。当然还有一些软件比如搜狗啊、SysTracer本身以及微信等引发的键值变化可以说很详细了。 还有剩下的就是没有注册看不了额没有办法。2和3进行比较注册变化更明显只是依旧看不了。 再1和3进行比较看一看键值发生了很多变化增加了很多键值可是没有注册看不了看来也只能再通过别的方法分析了。总的来说植入一个后门程序并且在进行回连的时候会发生很多键值的变化是可以通过这个方面来进行分析的只是对于刚入门并且没有注册的我们貌似有些不适用。用wireshark来进行分析 开始捕获包同时Kali开始通过msf寻找后门程序来进行回连主机双击后门程序来进行回连结束捕获。开始分析TCP的一些内容。这个119.75.213.61有点可疑回去看看原来整理的Excel原来是金山WPS办公软件云服务进程刚关闭完WPS云服务这又有个金山WPS办公软件云服务也给他关了。还有个23.57.229.163是什么搜一下一搜吓到了我这个IP竟然是印度的。很值得怀疑再看看建立连接有没有成功。成功建立的三次握手但是竟然还给我报了一个304错误那这是什么呢上网搜索一下发现是Akamai一个CDN运营商网站的IP。接下来的就是被虚拟机攻击的我的5339端口了。在本机的虚拟机攻击本机这么直接的操作下wireshark很直观的再现并且剖析了这一过程刚开始VM广播寻找哪个主机启动了后门开始回连192.168.224.140。端口以及回连的IP直接暴露了出来。 一直以为是主机的IP和虚拟机的IP进行通讯发现其实是主机的以太网适配器的IP地址与Kali进行了回连这说明以后在真正的实际应用中本机的各种的IP与别的IP的连接都需要分析有些东西用不是单单只能通过物理机IP来进行连接传播甚至被控制的。其他没有抓到什么别的包Process Explorer进行分析 该软件运行很简单下载安装好了就会进行监控这个软件还是比较好用让使用者能了解看不到的在后台执行的处理程序能显示目前已经载入哪些模块分别是正在被哪些程序使用着还可显示这些程序所调用的 DLL进程以及他们所打开的句柄。Process Explorer最大的特色就是可以中终任何进程甚至包括系统的关键进程我觉得这个甚至比任务管理器还好用竟然现在才知道。这个软件使用也比较简单安装完后直接就开始了监视可以在监视菜单栏的空白处点击右键选择添加列然后将使用的用户名、路径命令行等添加到显示的列表中便于分析。使用该软件进行分析。首先刚开始就有一个smss.exe进程进入了我的视线上网查了一下一查吓一跳竟然有很多人说是木马、病毒多查了几个网站发现其实这个程序全名Session Manager Subsystem它是一种部分的微软视窗操作系统。本身这个程序是一个正常的系统进程但是如果用户发现在系统进程中出现多个smss.exe进程或者CPU使用率变动很大那么要小心该程序可能就是一个潜伏在电脑深处的一个盗号木马程序所以再去寻找发现只有这一个smss.exe但是还是有些不放心与之前的任务计划抓下的进程的连接来进行比较在其中并没有找到这一项的连接所以应该是没有问题。svchost.exe也可能是病毒在这个软件里面也有分析如下图与此同时对于主机内的每个svchost.exe放到virscan进行扫描检出为0基本可以认定为系统程序而不是病毒。 这应该就是计划任务schtasks将记录写入netstatlog.txt的程序。接下来就是我的后门程序了。可以清楚的看到回连的IP和本机开放的端口还可以查看其进程ID号。 又有一个奇怪的程序。上网搜索发现igfxem.exe进程是正常的进程。是intel家的核显驱动类的进程.核显即“核芯显卡”是指GPU部分它是与CPU建立在同一内核芯片上两者完全融合的芯片与igfxhk.exe进程同时存在看来是安全的其实这个也是可以禁用的不过对于核心显卡设置会有一定的影响。其他进程貌似没有什么问题这款软件还在一定程度上减少了对未知的系统程序的百度比如下图所示很明确的指出了DCOMLAUNCH服务的功能和其是否能被禁用。看来我的电脑还是比较干净的。转载于:https://www.cnblogs.com/pingcpingcuo/p/8856524.html
