20174303刘金晖 Exp4 恶意代码分析

时间:2020-04-15
本文章向大家介绍20174303刘金晖 Exp4 恶意代码分析,主要包括20174303刘金晖 Exp4 恶意代码分析使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。

实验内容

任务一:系统运行监控

1.使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的,可以有针对性的抓包。

  • 输入 schtasks /create /TN netstat-4303 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > D:\netstat-4303.txt" 指令创建计划任务 netstat4303 

  

  •  新建一个文本文件以netstat-4303.bat 命名,输入以下内容:
date /t >> c:\netstat20174303.txt 
time /t >> c:\netstat20174303.txt
netstat -bn >> c:\netstat20174303.txt
  • 打开任务计划程序,可以看到创建的任务:

  

   修改编辑计划任务

  

  

  • 一天后

  

  • 用Excel分析数据:在Excel中打开数据->导入数据->分隔符号,下一步中标记所有分隔符号

  

  

  

  • 对数据进行统计学分析
    • 首先选中我们要分析的列
    • 点击上方“插入”->“数据透视图”
    • 默认选择在一个新工作表中生成
    • 将该字段拖动到下方的“轴字段”和“数值”两个区域中

  

2.sysmon工具监控系统

  • 在官网下载sysmon工具,并设置配置文件
<Sysmon schemaversion="10.42">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <DriverLoad onmatch="exclude">
      <Signature condition="contains">microsoft</Signature>
      <Signature condition="contains">windows</Signature>
    </DriverLoad>

    <ProcessCreate onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
    </ProcessCreate>

    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">iexplorer.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>
  • 以管理员身份运行命令行界面,进入sysmon所在目录,输入 Sysmon64.exe -i sysmon.xml

  

   

   选择agree

  安装成功

  

  • 进入事件查看器,打开【应用程序和服务日志】—>【Microsoft】—>【Sysmon】—>【Operational】,查看进程信息。

  

  

任务二:恶意软件分析

1.静态分析

 1.1文件扫描(VirusTotal工具)

  • 对实验三生成的文件进行扫描

   

  • 查看详细信息

  

 1.2文件格式识别(PEID 工具)

  PEiD (PE Identifier)是一款著名的查壳工具,其功能强大,几乎可以侦测出所有的壳,其数量已超过 470 种 PE 文档的加壳类型和签名

  • 对实验三生成的文件进行检测

  

  

1.3使用PE explorer进行外壳检测

   PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器,能快速对32位可执行程序进行反编译,并修改其中资源。

  • 打开实验三产生的文件:

  

  • 查看详细信息

  

  

  • 反汇编

  

  • 查看dll库

  

 2.动态分析

2.1wireshark分析

  • msf反弹连接并执行dir指令,捕获大量tcp包

  

  • ping时产生icmp包

  

2.2快照比对(SysTracer)

  • 下载安装,选择相应端口

  

原文地址:https://www.cnblogs.com/4303ljh/p/12703760.html