实验内容
-
schtasks、Sysmon对电脑进行系统检测,并分析。
-
对恶意软件进行静态分析,直接上传到网上,或者利用peid等软件。
-
对恶意软件进行动态分析,使用systracer,以及wireshark分析。
实验后回答问题
(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
- 可以用window7自带的schtasks,或者下载Sysmon进行对电脑的监控,不过分析起来,需要每一个都点开看,比较繁琐。
(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
-
使用wireshark抓包分析(这个需要你对网络协议有了解)
-
systracer查看具体进程改变的注册表信息等。
实验总结与体会
之前,我一直以为,电脑的状态只有我现在打开的一些软件,通过这次实验后,使用sysmon监控电脑,仔细查看了部分信息,发现qq,瑞星等软件经常在刷新,还有发现了一些以前不知道的程序,如mmc.exe,kupdata.exe等程序。以后电脑运行卡、慢,直接在这上面也能找到答案了。对恶意代码也有了新的认识,他们确实在我的主机上悄悄的运行着。
静态分析文件由于汇编不太好,基本上看不出什么门道来,动态分析就比较简单了,直接看异常运行的程序,分析注册表就可以啦。
实践过程记录
系统运行监控
使用计划任务schtasks。(该程序在win7、win8系统自带)
1、使用命令C:schtasks /create /TN netstat /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:
etstatlog.txt" 创建计划任务 "netstat"。
结果如下图所示:
2、在c盘目录下可以看到netstatlog.txt的内容查看有哪些进程在联网,结果如下图:我们可以看到正常的软件sogou、qq都开着,还有瑞星等(刚开始不知道瑞星的英文进程)
3、进一步处理,将netstatlog.txt文件输出中可以看到时间。依次在命令行中输入:
date /t >> c:
etstatlog.txt
time /t >> c:
etstatlog.txt
netstat -bn >> c:
etstatlog.txt
然后在点击开始输入“任务计划”打开任务计划程序的图形界面,在任务计划程序库中可以找到我们建立的netstat,在该任务下点击属性,编辑操作,将"cmd /c netstat -bn > c:
etstatlog.txt"替换为“c:
etstatlog.bat”,成功后再次打开c盘下的netstatlog.txt,就可以看见新加了时间:
4、进一步查看联网的程序,其中出现了一些不能辨认的,如下图:SGPicFaceTool.exe、rsturboball.exe,ravmond.exe,依次百度查看,SGPicFaceTool是搜狗图片皮肤(怪不得搜狗一开电脑就变慢),剩下两个都是瑞星杀毒的进程。
Sysmon
1、在c盘建立文件C:Sysmoncfg.tx,并输入老师知道书上给的内容。
2、在老师给出的连接上下载sysmon6,之后在命令行中输入:Sysmon.exe -i C:Sysmoncfg.txt。成功界面如下图:
3、之后在开始中输入:事件查看日志,打开“应用程序和服务日志->Microsoft->Windows->Sysmon->Operational”,以查看所得到的消息,其中上面是事件,下面是具体内容。如下图:
点击事件属性可以看到详细信息如下:
恶意软件分析
静态分析
- 将使用msf中shikata_ga_nai编码过一次生成的木马上传到网站,看到具体的内容信息包括注册表行为的改变,连接到具体的套接字等。:
- PE分析木马文件
1、木马文件各个属性值
2、各个section的属性值
3、反汇编结果
4、调用的动态链接库文件
动态分析——systracer
-
快照1是在木马程序已经在本机后的状态
-
快照2是启动回连kali时检测到的信息
下面是比对的结果
- 先找到木马程序(145204.exe)运行后,发现以下变化:
- 后来竟然发现了早已被我删掉的360se.exe.
- ie浏览器没有启动,他也出现在变化的表里
wireshar抓包木马程序干了什么
- 首先我们可以看到我的虚拟机和主机之间的三次握手:
- 最后会发现有大量的http-ssl协议的包,并不能清楚具体干了哪些事情。
