20164318 毛瀚逸 Exp4 恶意代码分析

时间:2021-05-07 19:25:00

---恢复内容开始---

1 关键内容

系统运行监控

(1)使用计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述分析结果。

(2)安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

恶意软件分析

分析后门软件

(3)读取、添加、删除了哪些注册表项

(4)读取、添加、删除了哪些文件

(5)连接了哪些外部IP,传输了什么数据

2 系统运行监控

实验在本机中进行。设置任务计划,计划任务名为20164318,每隔1分钟运行,结果输出至C盘根目录.

 schtasks /create /TN 20164318 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > e:\20164318.txt"

20164318 毛瀚逸 Exp4 恶意代码分析

同时创建一个bat文件,用于记录时间。

20164318 毛瀚逸 Exp4 恶意代码分析

(txt直接改后缀为bat)

然后直接在搜索里面打开计划任务程序,找到我们的20164318计划

20164318 毛瀚逸 Exp4 恶意代码分析

勾选上最高权限运行

20164318 毛瀚逸 Exp4 恶意代码分析

我电脑常年接电,我寻思着不用管电池的问题

然后把脚本选定为之前的那个bat

20164318 毛瀚逸 Exp4 恶意代码分析

这个地方忘记改文件后缀了,一直打开txt来着。。。

运行一段时间后得到结果

20164318 毛瀚逸 Exp4 恶意代码分析

经过和任务管理器对比,发现基本上就是网易云啊。。。wps啊等我在使用的软件,好像没有什么特别的东西。


安装sysmon20164318 毛瀚逸 Exp4 恶意代码分析

并且配置好

<Sysmon schemaversion="4.20"> <!-- Capture all hashes --> <HashAlgorithms>*</HashAlgorithms> <EventFiltering> <!-- Log all drivers except if the signature --> <!-- contains Microsoft or Windows --> <DriverLoad onmatch="exclude"> <Signature condition="contains">microsoft</Signature> <Signature condition="contains">windows</Signature> </DriverLoad> <NetworkConnect onmatch="exclude"> <Image condition="end with">iexplorer.exe</Image> <SourcePort condition="is">137</SourcePort> <SourceIp condition="is">127.0.0.1</SourceIp> </NetworkConnect> <NetworkConnect onmatch="include"> <DestinationPort condition="is">5325</DestinationPort> </NetworkConnect> <CreateRemoteThread onmatch="include"> <TargetImage condition="end with">explorer.exe</TargetImage> <TargetImage condition="end with">svchost.exe</TargetImage> <TargetImage condition="end with">winlogon.exe</TargetImage> <SourceImage condition="end with">powershell.exe</SourceImage> </CreateRemoteThread> </EventFiltering> </Sysmon>

打开kali,将之前设置好的后门上传到virustotal扫描

20164318 毛瀚逸 Exp4 恶意代码分析

可以看到具体的信息

然后回连成功之后,可以用process monitor监管

20164318 毛瀚逸 Exp4 恶意代码分析

(看不懂)

在process explorer中可以看到具体的占用系统资源数量

20164318 毛瀚逸 Exp4 恶意代码分析

3.报告内容

3.1实验后回答问题

(1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

如果我作为恶意代码的设计者,最大的方向应该是向赚钱的方向努力,因此,个人的隐私、照片、账号,其次是针对与现在企业的“用户画像”提供数据。监控的话我认为从键盘输入,摄像头输入等等比较靠谱。

(2)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

比如上面提到的process monitor,还有之前的wireshark等等,可以具体的查出连接的端口号啥的。

实验心得

原来恶意代码不是像电影里面一样有帅气的UI,恰恰重点是在漏洞与边界之间的斗争,有矛就有盾,但是我们防御也要看清楚到底防御的东西在哪,这就是这次实验的意义把。