《网络对抗》Exp4 恶意代码分析

1 回答问题
- （1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。
- （2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。
2 实验总结与体会
3 实践过程记录
4 遇到的问题

1 回答问题

（1）如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

如何检测(windows下)
1.可以查看网络连接，看是否有不正常的连接
2.查看资源监视器，看是否有可疑进程
3.查看事件查看器是否有一场情况
4.前三项可以用任务计划+systeminternal组件自动每分钟写入文件，然后分析IP和程序
5.使用像systracer这样的可以前后对比的工具查看
设计的监控操作
1.网络连接ip分析
2.注册表修改
3.事件查看器中的警告
4.程序文件变化

（2）如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

1.strings 查看进程是否有一些可以字符串
2.peid 查看是否加壳
3.查看反汇编 objdump
4.动态调试 IDApro和Ollydbg

2 实验总结与体会

恰好这学期也选修恶意代码，所以已经下载了很多工具可以直接用的上。我大概是按照实验指导中，静态方法一个个的试，但发现有些方法的效果重叠了，比如二进制结构体分析和反汇编、反编译，就是明白代码流程，虽然工具很多，但有些具体分析需要花更多的时间，以后可以再深入。动态方法也有些就跟静态的重合了，不知是功能本身重叠还是软件已经实现了多个功能。我的动态部分真是做的不行，首先做动态分析得先看懂汇编代码，这个没有系统得学，看懂部分还是云里雾里的，再就是我的环境崩了，一个是sandboxie plus不能运行出错，实验中kali虚拟机也崩，卡在那里一动不动，主机系统重启一直显示正在重启页面，感觉好像把电脑弄崩溃了。关于实验就是让我们了解得掌握在一个系统中对恶意代码检测，如何利用一些工具分析，这个思路是最重要的。

3 实践过程记录

3.1 系统监控

3.1.1 使用netstat

netstat 是Windows自带的一个监控 TCP/IP 网络非常有用的命令, 可以查看路由, 实际的网络状态, 以及每个网络接口的状态信息, 可以让用户知道目前有哪些网路连接正在运行。

直接运行

使用schtask(前面实验2使用过，就是设置任务计划)

      schtasks /create /TN netstat /sc MINUTE /TR "cmd /c netstat -bn > D:\netstatlog.txt" /st 23:11 
设置一个名为netstat的任务计划，每分钟从命令行中运行netstat，并将结果存入D盘下的netstatlog.txt，设置任务开始时间23:11

失败

改进后(如何改进,见遇到的问题4.1)
schtasks /create /TN netstat /sc MINUTE /TR "cmd /c netstat -bn >> D:\netstatlog.txt" /st 23:11

设置成功，且文件内容正常

多次手动运行，导入Excel中进行分析

出现次数最多的是120.253.253.102:443

看是移动的IP，应该是连着手机热点的缘故

看进程访问

访问最多的是firefox，应该是正在用火狐浏览器的缘故吧

3.1.2 使用sysmon监视系统

sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上，并保持常驻性。sysmon用来监视和记录系统活动，并记录到windows事件日志，可以提供有关进程创建，网络链接和文件创建时间更改的详细信息。

先设置sysmon配置文件(直接参考实验指导中给的和学长的博客)

启动sysmon

  ## 先进入软件的目录
  Sysmon.exe -i sysmoncfx.xml

查看日志:开始-搜索事件查看器>先点中显示/隐藏控制台数 (见下图圈出来的部分)>事件查看器本地>应用程序和服务日志>Microsoft>Windows>Sysmon>Operational

看一下记录(比如第一条)

这应该是腾讯管家下的某个软件

目的IP是：112.65.212.162

显示的是上海的IP

换一个比较全的

显示IP为联通的跟淘宝有关，这可能是把手机的也监听了

3.2 恶意代码分析

通过监控找到可疑程序后，就需要对找到的程序进行分析
分析过程中，恶意代码分析环境应该完全隔离，防止对原系统造成损坏
看见实验指导中有sandboxix plus，然后下载试试
将程序在sandboxie中启动，然后程序修改的所有数据都会存在一个虚拟目录中，不会修改系统中的数据

恶意代码部分：

## 使用veil生成
## 将生成的exe移到Windows下
## 在kali里运行msfconsole反弹连接

3.2恶意代码分析-静态分析

3.2.1 恶意代码扫描

可以用在线网站做扫描

3.2.2 文件格式识别-Peid

显示Unknown，这是识别不出壳或者没加壳程序，且能看到连接器版本，子系统是GUI

3.2.3 字符串提取

kali下运行strings

windows下运行systeminternals里的string

  ## 进入systeminternals目录
  strings.exe [可执行文件]

在两个系统上都差不多，然后就需要分析strings命令的结果了

3.2.4 二进制结构分析

kali下直接运行objdump

看来只用objdump是不行的，是需要结合其他工具一起看的

结构就是如此，好像我在找用grep找到的函数时发现了两个包含main的函数

Windows运行(objdump也是Windows的built-in）

3.2.5 反汇编(Windows下使用)-IDA

将exp4_met.exe导入IDA出错，静态分析应该是以二进制方式导入，但报错，其他还有以exe和MZDOZ exe导入，这样应该是动态的类似

3.3恶意代码分析-动态分析

3.3.1 快照比对-systracer

很多感叹号，而且没内容，说的是systracer没注册(补充，这也可能是没有权限的问题)

3.3.2 在使用systracer的同时，使用wireshark抓包

在虚拟机崩掉时，连接可能断掉了，之后再尝试吧

强制重启后
截图到了wireshark

前面有tcp的三次握手过程，后面发了很多包，应该就是msf中执行其他功能所需要的文件
看第三张图后面，然后虚拟机又崩溃，连接断了

多次重启后，虚拟机无法重启，然后恢复快照，重新装veil，然后一systracer中获取快照，虚拟机又不动了，想到前面是wireshark抓包然后连接，然后获取快照而虚拟机出问题，懂了是systracer的缘故

3.3.3 动态行为监控-Process Explorer(system internal中套件)

开始运行

NAVID web helper下有个像控制台的程序，比较奇怪，而且没运行什么

连接+分析

可执行权限中只有一个默认的SeChangeNotifyPrivilege开启,

看到就是一个提权的函数，很可能是后门程序运行中的，用来然过一些限制的

这之间的Cycles一直在变以及后面的图，这应该是一直在交互数据

这是集成了前面用到的strings命令，可以显示内存以及文件中的字符串

这个后面程序有三个进程，一个是本身，另两个是ntdll.dll文件相关

看着dll文件的描述，好像是用来独占内存的某一块，这是防止被杀的手段吧