2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析

2024-03-11 18:10

本文主要是介绍2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析


实验内容(概要)

一、系统(联网)运行监控

1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,逐步排查并且进行深入分析。

(1) 检查程序运行的合理性(他应不应该这时候运行);

(2) 检查程序占用资源的合理性(有没有不合理地、非法地占用资源);

(3) 综合分析结果,然后可以有目的地进行进行抓包。

2. 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

二、恶意软件分析

1. 特征捕捉

捕捉恶意软件联网情况、回连情况、进程迁移操作、修改注册表、修改文件的情况。

2. 特征分析

分析、以及基于特征的防范。


实验步骤

一、系统(联网)运行监控

1. 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,逐步排查并且进行深入分析。

这里主要用到的是schtasks命令,在网上有很多教程。在这里,为了先进行联网进程的监控,在命令行试运行如下:

schtasks /create /TN 5325netstat /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"

参数分析:/create创建定时任务;/TN设置taskname;/sc设置运行间隔;/MO设置周期;/TR设置runtask的命令;

1296594-20190406192030680-1982172826.png

任务计划创建成功,但是不一定能运行成功。因为可能c盘是保护盘,可能你需要权限才能创建文件balabala,所以在任务计划里面找到ta(看不见就在旁边刷新一下),设置为最高权限运行,看见c盘有生成的txt就可以了。

一次执行程序只能捕获此刻的联网情况。如果想在一段时间内持续监控,最好做一个bat文件。

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

以上是bat文件的内容(创建方法:新建txt —> 修改后缀名字)。

然后修改前面在cmd创建的任务计划参数,执行的程序不再是cmd,让任务计划指向这个文件。

当执行的时候电脑上会弹一个小黑窗,然后去c盘检查txt文件,能看见每一条日志有时间信息:

1296594-20190406192900080-342776965.png

(可能一开始几条是cmd的任务计划生成的所以没有时间信息,查看的时候往下多拉一些)

运行大概有30分钟以后停止。如果需要更全面的监控,可以根据情况调整时间。

参考教程:https://www.cnblogs.com/zjy1997/p/8824717.html 。将数据导入Excel做成图表。

1296594-20190406201617339-2053408537.png

可以看见几个主要的联网进程分别是:

  • chrome.exe浏览器,暂时看不出来什么问题。

  • dlna_player.exe通过文件夹搜索发现是酷狗的程序。

1296594-20190406210833564-296148696.png

经过上网查询发现这个是DLAN服务(手机投放功能):“可以在家庭局域网中将手机、平板、电脑、电视或者音响及其他音视频设备联通起来,互相之间可以访问其中的音乐、照片和视频。”

  • nvcontainer.exe看起来像是NVIDIA的东西,全部是本机连本机的,查找资料如下:

[Nvcontainer.exe]对于Windows不是必需的,并且经常会导致问题。Nvcontainer.exe通常是存放在C:\Program Files\NVIDIA Corporation\NvContainer)。它是服务“NvContainerLocalSystem”:NVIDIA根功能的容器服务。这是Verisign签名的文件。Nvcontainer.exe不是Windows系统文件。该程序没有可见的窗口。该文件具有数字签名。该过程使用端口连接到LAN或Internet。Nvcontainer.exe能够监控应用程序。nvcontainer.exe也可能是恶意软件所伪装,或造成的一些恶意软件。因此,您应该检查PC上的nvcontainer.exe进程,看它是否是威胁。

  • QQ.exe大腾讯的qq,暂时看不出什么问题。

  • svchost.exe查找资料:LocalSystemNetworkRestricted。可能长时间读写可能引起电脑卡顿。参考:https://www.cnblogs.com/highend/p/win10_disk_100_percent.html

  • ruby.exe脚本语言,联网原因未知,查看链接地址全部是本机连本机的,应该问题不大。

  • WpnService网上说是一个系统服务,为什么连到这里?????

1296594-20190406211017978-1618538892.png

有点小慌。。。。。想办法把他禁用了:

1296594-20190406211523700-373092495.png

2. 安装配置sysinternals里的sysmon工具,设置合理的配置文件,监控自己主机的重点事可疑行为。

下载官方exe,安装:C:\Users\24771\Desktop\Sysmon>Sysmon.exe -i C:\sysmon5325.xml

文件sysmon5325.xml如下:

<Sysmon schemaversion="4.20"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude"><Signature condition="contains">microsoft</Signature><Signature condition="contains">windows</Signature></DriverLoad><NetworkConnect onmatch="exclude"><Image condition="end with">chrome.exe</Image><Image condition="end with">iexplorer.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp></NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread></EventFiltering>
</Sysmon>

1296594-20190406215351220-513494685.png

1296594-20190406215420467-536294155.png

成功。

右键win,打开事件查看器,左侧的应用程序和服务日志中,通过Microsoft->Windows->Sysmon->Operational找到配置文件所记录的全部信息。

每一个事件id对应着不同的事件类型:

1   :  进程建立 
2   :  进程更改了文件创建时间 
3   :  网络连接 
4   :  Sysmon服务状态已变更 
5   :  进程已终止 
6   :  已载入驱动程式 
7   :  已载入影像 
8   :  创建远程线程 
9   :  RawAccessRead 
10  :  进程访问 
11  :  文件创建 
12  :  注册事件(创建和删除对象) 
13  :  注册事件(值集) 
14  :  注册事件(键和值重命名) 
15  :  文件创建流哈希 
255 :  错误

这里的事件实在是太多了,不利于分析。建议修改xml的值,对后门程序进行定向分析。

<Sysmon schemaversion="4.20"><!-- Capture all hashes --><HashAlgorithms>*</HashAlgorithms><EventFiltering><!-- Log all drivers except if the signature --><!-- contains Microsoft or Windows --><DriverLoad onmatch="exclude"><Signature condition="contains">microsoft</Signature><Signature condition="contains">windows</Signature></DriverLoad><NetworkConnect onmatch="exclude"><Image condition="end with">iexplorer.exe</Image><SourcePort condition="is">137</SourcePort><SourceIp condition="is">127.0.0.1</SourceIp></NetworkConnect><NetworkConnect onmatch="include"> <DestinationPort condition="is">5325</DestinationPort>     </NetworkConnect><CreateRemoteThread onmatch="include"><TargetImage condition="end with">explorer.exe</TargetImage><TargetImage condition="end with">svchost.exe</TargetImage><TargetImage condition="end with">winlogon.exe</TargetImage><SourceImage condition="end with">powershell.exe</SourceImage></CreateRemoteThread></EventFiltering>
</Sysmon>

Sysmon.exe -c C:\sysmon5325.xml重新进行配置。

1296594-20190407105239271-2025213810.png

能清楚地看到回连的状态。

1296594-20190407104618590-1623182400.png

二、恶意软件分析

1. 使用virscan进行扫描。

1296594-20190407111046649-1631284230.png

为什么没有行为分析,我看同学的博客里面有哈勃文件分析什么的(可能是我眼瞎没看见)。

2. Process Monitor工具

工具的作用是实时显示文件系统、注册表、进程/线程的活动。它是windows自己开发的,官方软件,值得信赖。

1296594-20190407115543182-1581850276.png

设置过滤器以后,能找到shellcode.exe,追踪到后门程序的运行。

1296594-20190407115743244-1657835368.png

双击能看到进程的详细信息。

3. 使用SysTracer工具进行快照对比

建议在win7虚拟机里面运行(系统小文件少,快照生成时间短)

1296594-20190407122418763-765452381.png

生成4个快照,分别是:

  • 运行后门之前;
  • 运行后门时;
  • 输入dirpwd命令之后。
  • 结束运行之后。

比较能发现差异——运行时发生了修改、新增注册表项的操作。(具体什么意思我也看不懂啊)

1296594-20190407123544572-916118913.png

文件和新增和删除了很多,看文件路径,我猜他想伪装成为一个Microsoft的程序吧??(HSA意思是生成了隐藏的文件)

1296594-20190407124048991-1044624268.png

当执行指令时,能发现没有修改注册表或者生成新的应用程序,只是进行增删了一些文件。

1296594-20190407124337648-1922835637.png

4. 抓包

后门启动以后,攻击机向靶机发送了很多tcp数据包,猜测MSF需要的指令全部都在这里面,后门程序本身只是用于回连。

1296594-20190407125638456-1455316051.png

5. 分析

综上所述,恶意软件执行的主要操作包括修改增加注册表,生成新的文件,从攻击机接受大量的文件,因此可以从行为和网络情况进行监控。

一方面,对注册表项进行严格的监控,所有修改的进程最好要经过管理员权限的允许(UAC控制)

另一方面,恶意软件可能是在用户不知情的情况下运行的(例如在熄屏是启动),所以防范的另一方面在于:监控网络流量情况。禁止程序在不正常的情况下启动操作接受/发送大量数据。

转载于:https://www.cnblogs.com/maxeysblog/p/10662649.html

这篇关于2018-2019-2 20165325 网络对抗技术 Exp4 恶意代码分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/798626

相关文章

SpringBoot中六种批量更新Mysql的方式效率对比分析

《SpringBoot中六种批量更新Mysql的方式效率对比分析》文章比较了MySQL大数据量批量更新的多种方法,指出REPLACEINTO和ONDUPLICATEKEY效率最高但存在数据风险,MyB... 目录效率比较测试结构数据库初始化测试数据批量修改方案第一种 for第二种 case when第三种

解决1093 - You can‘t specify target table报错问题及原因分析

《解决1093-Youcan‘tspecifytargettable报错问题及原因分析》MySQL1093错误因UPDATE/DELETE语句的FROM子句直接引用目标表或嵌套子查询导致,... 目录报js错原因分析具体原因解决办法方法一:使用临时表方法二:使用JOIN方法三:使用EXISTS示例总结报错原

MySQL中的LENGTH()函数用法详解与实例分析

《MySQL中的LENGTH()函数用法详解与实例分析》MySQLLENGTH()函数用于计算字符串的字节长度,区别于CHAR_LENGTH()的字符长度,适用于多字节字符集(如UTF-8)的数据验证... 目录1. LENGTH()函数的基本语法2. LENGTH()函数的返回值2.1 示例1:计算字符串

Android kotlin中 Channel 和 Flow 的区别和选择使用场景分析

《Androidkotlin中Channel和Flow的区别和选择使用场景分析》Kotlin协程中,Flow是冷数据流,按需触发,适合响应式数据处理;Channel是热数据流,持续发送,支持... 目录一、基本概念界定FlowChannel二、核心特性对比数据生产触发条件生产与消费的关系背压处理机制生命周期

怎样通过分析GC日志来定位Java进程的内存问题

《怎样通过分析GC日志来定位Java进程的内存问题》:本文主要介绍怎样通过分析GC日志来定位Java进程的内存问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录一、GC 日志基础配置1. 启用详细 GC 日志2. 不同收集器的日志格式二、关键指标与分析维度1.

Linux中压缩、网络传输与系统监控工具的使用完整指南

《Linux中压缩、网络传输与系统监控工具的使用完整指南》在Linux系统管理中,压缩与传输工具是数据备份和远程协作的桥梁,而系统监控工具则是保障服务器稳定运行的眼睛,下面小编就来和大家详细介绍一下它... 目录引言一、压缩与解压:数据存储与传输的优化核心1. zip/unzip:通用压缩格式的便捷操作2.

MySQL中的表连接原理分析

《MySQL中的表连接原理分析》:本文主要介绍MySQL中的表连接原理分析,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录1、背景2、环境3、表连接原理【1】驱动表和被驱动表【2】内连接【3】外连接【4编程】嵌套循环连接【5】join buffer4、总结1、背景

python中Hash使用场景分析

《python中Hash使用场景分析》Python的hash()函数用于获取对象哈希值,常用于字典和集合,不可变类型可哈希,可变类型不可,常见算法包括除法、乘法、平方取中和随机数哈希,各有优缺点,需根... 目录python中的 Hash除法哈希算法乘法哈希算法平方取中法随机数哈希算法小结在Python中,

Java Stream的distinct去重原理分析

《JavaStream的distinct去重原理分析》Javastream中的distinct方法用于去除流中的重复元素,它返回一个包含过滤后唯一元素的新流,该方法会根据元素的hashcode和eq... 目录一、distinct 的基础用法与核心特性二、distinct 的底层实现原理1. 顺序流中的去重

Qt如何实现文本编辑器光标高亮技术

《Qt如何实现文本编辑器光标高亮技术》这篇文章主要为大家详细介绍了Qt如何实现文本编辑器光标高亮技术,文中的示例代码讲解详细,具有一定的借鉴价值,有需要的小伙伴可以了解下... 目录实现代码函数作用概述代码详解 + 注释使用 QTextEdit 的高亮技术(重点)总结用到的关键技术点应用场景举例示例优化建议