1.實踐目標 1.1是監(jiān)控你自己系統(tǒng)的運行狀態(tài)��,看有沒有可疑的程序在運行��。 1.2是分析一個惡意軟件�����,就分析Exp2或Exp3中生成后門軟件��;分析工具盡量使用原生指令或sysinternals,systracer套件�。 1.3假定將來工作中你覺得自己的主機有問題,就可以用實驗中的這個思路�,先整個系統(tǒng)監(jiān)控看能不能找到可疑對象,再對可疑對象進行進一步分析�����,好確認其具體的行為與性質。 2.實踐內容 2.1系統(tǒng)運行監(jiān)控 一���、Windows計劃任務schtasks使用 schtasks /create /TN netstat4311 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt" 命令創(chuàng)建計劃任務netstat4311��,其中TN是TaskName的縮寫��,sc表示計時方式����,這里指的是我們每一分鐘執(zhí)行一次任務名為ntstat4311的任務����。 
在C盤中創(chuàng)建一個netstatlog4311.bat腳本文件,寫入以下內容 date /t >> c:\Users\admin\netstatlog4311.txt
time /t >> c:\Users\admin\netstatlog4311.txt
netstat -bn >> c:\Users\admin\netstatlog4311.txt 
打開任務計劃程序�,可以看到新創(chuàng)建的這個任務。 
雙擊這個任務���,點擊操作并編輯��,將“程序或腳本”改為我們創(chuàng)建的netstatlog4311.bat批處理文件��,并清空參數(shù)����。 
執(zhí)行此腳本一定時間��,就可以在netstat5318.txt文件中查看到本機在該時間段內的聯(lián)網(wǎng)記錄: 
存儲的數(shù)據(jù)通過excel表進行整理�����,具體步驟如下��。 
由統(tǒng)計數(shù)據(jù)可知����,使用最多的進程為EXCEL.exe。 二���、使用sysmon工具首先進入微軟官網(wǎng)下載sysmon 
由于sysmon是微軟Sysinternals套件中的一個工具�����,使用sysmon工具前首先要配置文件��。在安裝的目錄下創(chuàng)建“20164311.xml”文件�,內容如下: <Sysmon schemaversion="4.12">
<!-- Capture all hashes -->
<HashAlgorithms>*</HashAlgorithms>
<EventFiltering>
<!-- Log all drivers except if the signature -->
<!-- contains Microsoft or Windows -->
<ProcessCreate onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">firefox.exe</Image>
</ProcessCreate>
<ProcessCreate onmatch="include">
<ParentImage condition="end with">cmd.exe</ParentImage>
</ProcessCreate>
<FileCreateTime onmatch="exclude" >
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">firefox.exe</Image>
</FileCreateTime>
<NetworkConnect onmatch="exclude">
<Image condition="end with">chrome.exe</Image>
<Image condition="end with">firefox.exe</Image>
<SourcePort condition="is">137</SourcePort>
<SourceIp condition="is">127.0.0.1</SourceIp>
</NetworkConnect>
<NetworkConnect onmatch="include">
<DestinationPort condition="is">80</DestinationPort>
<DestinationPort condition="is">443</DestinationPort>
</NetworkConnect>
<CreateRemoteThread onmatch="include">
<TargetImage condition="end with">explorer.exe</TargetImage>
<TargetImage condition="end with">svchost.exe</TargetImage>
<TargetImage condition="end with">firefox.exe</TargetImage>
<TargetImage condition="end with">winlogon.exe</TargetImage>
<SourceImage condition="end with">powershell.exe</SourceImage>
</CreateRemoteThread>
</EventFiltering>
</Sysmon>遠程線程創(chuàng)建記錄了目標為explorer.exe����、svchost.exe�����、firefox.exe����、winlogon.exe和powershell.exe 的遠程線程��。 以管理員的身份打開命令指示符���,輸入“sysmon64.exe -i ”安裝sysmon
輸入“sysmon64.exe -c 20164311.xml”配置sysmon 查看“事件查看器”�����,可以看到按照配置文件的要求記錄的新事件����,以及事件ID����、任務類別、詳細信息等�����。
對自己的后門文件進行分析
找到運行后門文件相對應的日志,打開這個事件�,發(fā)現(xiàn)并沒有ip地址一類的,詢問了其他同學����,也是有的有���,有的沒有�,這個問題也暫時沒法解決��。
2.2惡意軟件分析靜態(tài)分析
文件掃描(VirusTotal��、VirusScan工具等)
文件格式識別(peid�����、file���、FileAnalyzer工具等)
字符串提?�。⊿trings工具等)
反匯編(GDB��、IDAPro��、VC工具等)
反編譯(REC��、DCC�、JAD工具等)
邏輯結構分析(Ollydbg、IDAPro工具等)
加殼脫殼(UPX����、VMUnPacker工具等 下載SysTracer工具,抓四種狀態(tài)的包:snapshot#1.不做任何操作���;snapshot#2.傳輸后門到目標主機��;snapshot#3.啟動后門程序�;snapshot#4.使用dir和record_mic指令
關注三個問題:1.讀取�����、添加���、刪除了哪些注冊表項�?2.讀取����、添加�、刪除了哪些文件����?3.連接了哪些外部IP,傳輸了什么數(shù)據(jù)��? 通過右下角的compare鍵或者View Differences Lists比對各快照��,可以選擇Only Difference只查看不同的項�。 對比快照一和快照二:增加了我的后門程序011_backdoor.exe
可以看到很多增加����,刪除,更新的鍵值和文件
對比快照二和快照三�,可以看到新增的后門進程,而且可以詳細看到其的目的IP和端口號���、源IP和端口號以及連接的協(xié)議:
而且該后門程序生成了很多文件���、目錄和鍵值
此外的一些地方都是未授權的,無法查看
由于在kali端沒有進行相關操作��,所以并沒有根鍵被修改。
對比快照三和快照四 對key_local_machine根鍵中的內容進行了修改(HKEY_LOCAL_MACHINE保存了注冊表里的所有與這臺計算機有關的配置信息)
注冊表有以下變化
新建了很多連接�,其中有與后門程序相關的Apache HTTP Server
下載peid分析惡意軟件 查殺了未加殼的后門程序
查殺加了加密殼的后門程序...好像都沒什么用
下載并打開process explorer,靶機運行后門程序進行回連時���,我們可以在 Process Explorer工具中查看到其記錄��,我們可以看到1011_backdoor.exe程序�����。
也可以詳細查看該進程使用的CPU�����,虛擬內存空間���、物理內存空間、I/O等�����。
把生成的惡意代碼放在VirusTotal進行分析(也可以使用VirusScan工具)�,基本情況如下:
查看這個惡意代碼的基本屬性:可以看出它的SHA-1、MD5摘要值�、文件類型��、文件大小�����,以及TRiD文件類型識別結果���。
下載并安裝process monitor,打開���,發(fā)現(xiàn)其中羅列了正在運行的進程�����,雙擊后門進程可以看到有關進程的詳細信息。
3.報告內容3.1實驗中遇到的問題1�、一開始找不到記錄進程及其相關的記事本,以為如果追加的記事本不存在則創(chuàng)建一個����,也就是和linux類似,但Windows和linux是由區(qū)別的�����,記事本需要自己創(chuàng)建的。 2����、配置sysmon的時候好像不能使用3.10,改成4.12或者4.20均可����。 3.2基礎問題回答如果在工作中懷疑一臺主機上有惡意代碼,但只是猜想����,所有想監(jiān)控下系統(tǒng)一天天的到底在干些什么。請設計下你想監(jiān)控的操作有哪些�,用什么方法來監(jiān)控。 答:使用windows自帶的schtasks指令�,設置一個定時任務,將相關進程以及用到的相關協(xié)議信息追加到記事本中����,并用excel整理;使用sysmon��,編寫配置文件����,記錄有關信息�;使用Process Explorer工具����,監(jiān)視進程執(zhí)行情況;使用Process Monitor工具�,監(jiān)視文件系統(tǒng)、注冊表��、進程/線程的活動����。 如果已經確定是某個程序或進程有問題,你有什么工具可以進一步得到它的哪些信息�。 答:上傳到virscan.org上進行檢測;使用peid分析程序是否有殼����;使用systracer工具分析惡意軟件���,查看其對注冊表和文件的修改�。 3.3實驗總結與體會如果說殺毒軟件主要是基于特征碼的殺毒�,那么我覺得這次實驗主要教會了我如何基于程序的行為找到可能是病毒的惡意軟件,唯一令我感到疑惑的是���,這些基于行為的軟件���,有的不能自動刷新���,有的需要一整天開機,有的只能對單個程序進行掃描����,所以可實用性并不是很強,所以我希望在接下來的實驗中����,能更深入到這些惡意程序的本質,以一種更加實用的方式監(jiān)控我的電腦是否存在惡意軟件����。
|
