20145232韩文浩《网络对抗》 恶意代码分析

• 在大多数情况下，进行恶意代码分析时，我们将只有恶意代码的可执行文件本身，而这些文件并不是我们人类可读的。为了了解这些文件的意义，你需要使用各种工具和技巧，而每种只能揭露出少量的信息。所以在实战中，我们要综合使用各种工具，才能看到一个全貌。
• 恶意代码分析有两类基本方法：
  • 静态分析：在没有运行恶意代码时对其进行分析的技术
  • 动态分析：相比较静态分析而言，则需要运行恶意代码，通过其产生的行为，如对计算机中注册表、文件的更改，网络的连接等动态数据进行分析，从而确定其具体行为

实验问题回答

1.需要监控什么？用什么来监控？

通常我们要监控以下几项信息：
注册表信息的增删添改
系统上各类程序和文件的行为记录以及权限
实现网络连接的进程，使用的IP地址和端口号等。

用以下软件工具来监控：
wireshark进行抓包分析，查看系统到底进行了哪些网络连接
TCPview工具可以查看系统的TCP连接信息
使用软件查看注册表信息的改动是否合理
sysmon用来监视和记录系统活动，并记录到windows事件日志。

2.如果在工作中怀疑一台主机上有恶意代码，请设计下你准备如何找到对应进程、恶意代码相关文件。

使用tcpview工具检测有哪些程序在进行网络连接，是否有进程是我们未预设会连接网络的
使用快照分析进程对系统做了哪些改变，新增文件是否是我们预知的
使用wireshark抓包软件分析进程网络连接传输的数据到底是什么

Linux:192.168.31.132
win:172.20.10.3

恶意代码

本次实验分析对象是后门原理与实践中的5232.exe

使用VirSCAN分析

通过VirSCAN.org平台进行分析如下：

点击“文件行为分析”，可以详细地察看是否有敏感行为。

静态分析之PE套件使用

PE explorer

• 通过PE explorer打开文件5232.exe，可以查看PE文件编译的一些基本信息，导入导出表等。

• 可以看到该文件的编译时间、链接器等基本信息。
  

• 点击“导入表”，可以查看该文件依赖的dll库
  

• WSOCK32.dll和WS2_32.dll，是用来创建套接字的dll库

• ADVAPI32.dll是一个高级API应用程序接口服务库的一部分，包含的函数与对象的安全性，注册表的操控以及事件日志有关。

PEiD

通过PEiD这款工具分析一下5232.exe看看是否带壳以及其所使用的编译器版本。

Dependency Walker

Dependency Walker是一款Microsoft Visual C++中提供的非常有用的PE模块依赖性分析工具，可以查看PE模块的导入模块，查看PE模块的导入和导出函数，动态剖析PE模块的模块依赖性，解析C++函数名称

我们使用这个软件打开5232.exe

该可执行文件可以对注册表进行删除操作，这也与VirSCAN.org查杀解雇保持一致。

使用schtasks指令

先在C盘目录下建立一个netstatlog.bat文件，用来将记录的联网结果格式化输出到netstatlog.txt文件中。
打开Windows下命令提示符，输入指令schtasks /create /TN netstat /sc MINUTE /MO 2 /TR "c: etstatlog.bat"指令创建一个每隔两分钟记录计算机联网情况的任务：

netstat命令设置计划任务

• 在C盘中创建一个netstat5232.bat文件

其中写入代码

date /t >> c:
etstat5232.txt
time /t >> c:
etstat5232.txt
netstat -bn >> c:
etstat5232.txt

• 在任务计划程序中，新建一个触发器

• 新建一个操作，并设置参数：>> c: etstat5232.txt并设置一个名称，给予最高权限
  

• 回连后，发现记录了以下回连产生的记录
  

Wireshark

设置IP过滤格式:ip.src==192.168.31.132 or ip.dst==192.168.31.132

SysTracer

这一部分改在虚拟机中操作，由于主机文件较多，快照等待时间较长，而虚拟机中文件少、注册表少。易分析

1.首先我们在win7虚拟机下快照保存为Snapshot #1；
2.Kali生成相应的后门，将文件通过ncat传到win7虚拟机下后快照保存为Snapshot #2；
3.Kali开启msf监听，在win7下运行后门程序后快照保存为Snapshot #3；
4.Kali对win7虚拟机进行截图后，在win7下快照保存为Snapshot #4；
5.Kali对win7进行一些权限操作后，在win7下快照保存为Snapshot #5

• 生成相应的后门,C盘新增了我们传输的文件
  

• 回连成功后，注册表发生变化；多了一个注册表键，C盘新增5232.exe
  

• 截屏后，注册表信息又发生变化
  

• 进行相关权限操作时，有联网请求
  

Sysmon

• 在Sysmon.exe同目录下建立文件：test.txt，并输入老师指导书中给的XML

• 管理员身份运行CMD，输入指令：Sysmon.exe -i test.xml，进行安装
  

• 输入指令：Sysmon.exe -c test.xml，进行配置
  

• 设置好上述，可以进入Applications and Services Logs/Microsoft/Windows/Sysmon/Operational查看日志，这个过程会很慢，因为有大量日志数据