1.1 实践目标

 

• 监控你自己系统的运行状态，看有没有可疑的程序在运行。
• 分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
• 假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

1.2 实践内容

1.系统运行监控

• 使用如计划任务，每隔一分钟记录自己的电脑有哪些程序在联网，连接的外部IP是哪里。运行一段时间并分析该文件，综述分析结果。
• 安装配置sysinternals里的sysmon工具，设置合理的配置文件，监控自己主机的重点是可疑行为。

2.恶意软件分析

分析该软件在启动回连、安装到目标机及其他任意操作时（如进程迁移或抓屏）

该后门软件

• 读取、添加、删除了哪些注册表项
• 读取、添加、删除了哪些文件
• 连接了哪些外部IP，传输了什么数据（抓包分析）

二、软件准备

根据本次实验的要求，从老师所给网站或自行百度下载 Sysmon 、 PEID 、PE Explorer 、 Systracer 、 Wireshark

实验步骤

一、系统运行监控

使用 schtasks /create /TN netstat4318 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt" 命令创建计划任务 netstat4318

• TN 是 TaskName 的缩写，我们创建的计划任务名是 netstat4318;
• sc 表示计时方式，我们以分钟计时填 MINUTE；
• TR  =Task Run，要运行的指令是 netstat
• bn , b表示显示可执行文件名，n 表示以数字来显示 IP 和端口;
• > 表示输出重定向，将输出存放在 c:\netstatlog.txt 文件中

• 在C盘中创建一个 netstat4318.bat 脚本文件，写入以下内容

  date /t >> c:\netstat4318.txt
  time /t >>c:\netstat4318.txt
  netstat -bn>> c:\netstat4318.txt

• 打开任务计划程序，可以看到新创建的这个任务：

• 双击这个任务，点击操作并编辑，将“程序或脚本”改为我们创建的 netstat4318.bat 批处理文件，确定即可。

• 还可以自行更改该任务的其他属性，如在"条件"选项卡中可以看到，电源选项中默认操作为“只有在计算机使用交流电源时才启动此任务”，那么使用电池电源时就会停止任务。这点需要格外注意，如果没有修改默认操作，任务无论如何都无法执行可能只是因为拔掉了电源。为了我们统计足够多的数据，最好把这个取消掉。

• 使用最高权限运行，否则可能会运行失败。

• 执行此脚本一定时间，就可以在netstat4318.txt文件中查看到本机在该时间段内的联网记录：

• 当记录的数据足够丰富时，停止任务，将所得数据在excel中进行分析，此过程要一直保持开机联网状态才能持续监控

• 等待一段时间（如一天），将存储的数据通过excel表进行整理：

• 导入文本数据：新建excel文件->选择上方“数据”->选择“获取外部数据”->选择“自文本”

• 选择记录连接情况的文本netstatlog.txt，点击“导入”

• 进入文件导入向导第一步，选中“分隔符号”，点击“下一步”

• 进入文件导入向导第二步，选中全部分隔符号，点击“下一步”

• 进入文件导入向导第三步，列数据格式选择常规，点击“完成”。

• 待分析数据如下：

• 对待分析数据进行统计学分析：

• 选中我们要分析的列：

• 点击上方“插入”->“数据透视图”

• 默认选择在一个新工作表中生成

• 在右侧“选择要添加到报表的字段”中点击对应字段右侧的小箭头->取消选择那些没有意义的字段，然后点击“确定”

• 将该字段拖动到下方的“轴字段”和“数值”两个区域中

• 可以看到我们的统计图进行分析了：

如数据图所示，联网最多的就是系统自带的浏览器和 QQ 浏览器，之后便是 Vmware 和 Wechat ，值得注意的是，我们发现了植入的后门程序 「20174318backdoor.exe 」。

二、系统运行监控——利用Sysmon

• 下载SysinternalsSuite.zip并解压。根据自己的系统选择Sysmon版本，电脑是64位的系统，选择Sysmon64.exe，在程序的属性中查看版本信息。

• 确定要监控的目标。对信任的程序设置白名单，减少监控冗余。
• 明确了要监控的目标后，在Sysmon所在的目录下创建相应的配置文件 sysmon20174318.xml 了，配置文件如下：

<Sysmon schemaversion="4.12">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">     
      <Image condition="end with">chrome.exe</Image> 
      <Image condition="end with">firefox.exe</Image>
    </ProcessCreate>

    <ProcessCreate onmatch="include"> 
      <ParentImage condition="end with">cmd.exe</ParentImage>
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">firefox.exe</Image>
    </FileCreateTime>
    
    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <Image condition="end with">firefox.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <NetworkConnect onmatch="include">     
      <DestinationPort condition="is">80</DestinationPort>      
      <DestinationPort condition="is">443</DestinationPort>    
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">firefox.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

• 以管理员身份打开命令行，使用指令 Sysmon.exe -i C:\sysmon20174318.xml 安装 sysmon

• 出现如下错误：

从文件的详细信息查看的版本号是 4.12 ，但提示应该填写 3.10 ，虽然感觉有点前后矛盾，但还是在 .xml 文件中修改下版本号

• 之后便安装成功了

• 在事件查看器中的应用程序和服务日志下，查看 Microsoft->Windows->Sysmon->Operational。在这里，我们可以看到按照配置文件的要求记录的新事件，以及事件ID、任务类别、详细信息等等。

• 这个配置文件记录的第一个日志就是打开C:\sysmon20174318.xml配置文件

• 分析日志，我分析的是自己生成的后门文件进行分析。

• 启动回连到kali

• • 找到后门的相应日志，查看详细信息，可以看到这个后门映像文件的具体位置、源IP和端口、目的IP和端口等：

• • 也可以找到其他进程的日志，打开这个事件，可以看到其属于“ NetworkContect ”。同样可以查看详细信息

• • 另外，我们还捕捉了前一个任务的任务计划监控程序

三、恶意软件分析

 

静态分析

• 文件扫描（VirusTotal、VirusScan工具等）
• 文件格式识别（peid、file、FileAnalyzer工具等）
• 字符串提取（Strings工具等）
• 反汇编（GDB、IDAPro、VC工具等）
• 反编译（REC、DCC、JAD工具等）
• 逻辑结构分析（Ollydbg、IDAPro工具等）
• 加壳脱壳（UPX、VMUnPacker工具等）

我主要选取以下几种方法和工具来进行分析

（1） 文件扫描（VirScan工具）

• 使用在线VirusTotal对上次实验中生成的加壳隐藏文件进行扫描，有（57/72）个软件发现病毒：

查看这个恶意代码的基本属性：

可以看出它的SHA-1、MD5摘要值、文件类型、文件大小等信息。

（2） 文件格式识别（PEID 工具）

• PEiD (PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过 470 种 PE 文档的加壳类型和签名。

• 先看一下没有加壳的后门程序

• 再看一下加过压缩壳的后门程序：

• 再看一下加过加密壳的后门程序：

• 看来壳加密后这个软件就不能查到了

（3） 反编译、反汇编（PE Explorer工具）

PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器，能快速对32位可执行程序进行反编译，并修改其中资源。该软件支持插件，你可以通过增加插件加强该软件的功能，原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器，非常好用。

这里主要看文件引用的dll库，可以通过 视图→引入 进行查看，如下图所示：

• 靶机运行后门程序进行回连时，我们可以在 Process Explorer工具中查看到其记录，我们可以看到这个程序运行时子程序中有conhost.exe这个程序，同样的程序我们可以在cmd.exe的子程序中看到，由此我们可以知道该程序是在命令行中运行的。

• 也可以详细查看该进程使用的CPU，虚拟内存空间、物理内存空间、I/O等。

 

动态分析

• 快照比对（SysTracer、Filesnap、Regsnap工具等）
• 抓包分析（WireShark工具等）
• 行为监控（Filemon、Regmon、ProcessExplorer工具等）
• 沙盒（NormanSandbox、CWSandbox工具等）
• 动态跟踪调试（Ollydbg、IDAPro工具等）

我主要选取以下几种方法和工具来进行分析：

（1）快照比对（SysTracer工具）

• 下载SysTracer工具并设置监听端口号

点击右侧的 take snaoshot 存储快照

• 快照一：未移植后门程序
• 快照二：移植后门程序
• 快照三：运行后门程序并在kali中实现回连
• 快照四：在kali中使用dir指令
• 快照五：在kali中使用record_mic指令

• 五张快照拍摄完成

• 通过右下角的 compare 键或者 View Differences Lists 比对各快照，进行分析

• 快照一和快照二：增加了我的后门程序，后面还有很多增加或删减的键值，增加或删减的.dll文件

•  对比快照二和快照三（后门启动前与启动后）：

可以看到新增的后门进程，而且可以详细看到其的目的IP和端口号、源IP和端口号以及连接的协议：

 而且该后门程序生成了很多文件、目录和键值

• 对比快照三和快照四：kali上执行dir指令

增加了很多TCP连接，应该是为了获取windows的目录所以发出了TCP连接请求

• 对比快照四和快照五：kali上执行record_mic指令

新建了很多连接，其中有与后门程序相关的Apache HTTP Server

（2）抓包分析（WireShark工具）

回连完成后结束捕获，并把过滤规则设置为 ip.addr == 192.168.0.105 ，这里我只想查看和虚拟机IP有关的数据包，所以把没用的包过滤掉

• ping通时的 ICMP 包

• MSF 反弹连接时的 TCP 包

• dir 时查看包，返回的大豆是 TCP 三次握手的包

• 其余的回连包

实验总结

一、基础问题回答 

(1)如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所以想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

『使用 Sysmon 工具，编写配置文件，记录有关的系统日志；

  使用 schtasks 指令设置计划任务，定期对主机的联网记录等进行记录；

  使用 Sysmon 对事件进行记录，通过事件查看器的任务类别，判断可疑行为，查看连接记录；

  使用 Systracer 拍摄不同时间的快照，对比不同时间的快照判断是否有可疑的增删注册表行为。』

(2)如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

『 使用Wireshark进行抓包分析，监视其与主机进行的通信过程；

  使用systracer工具分析恶意软件,进行快照的对比；

  使用Process Explorer查看调用的程序库。』

二、实验总结与体会

本次实验相较于之前几次实验，做起来比较简单，主要是对植入我们主机的恶意代码进行不同方面的分析，包括静态和动态的分析，借助不同的软件，操作起来还是很方便的

针对本次实验的内容，对结果的分析阶段特别考验我们的信息处理能力，明显看到有很多不同，但是分析是又不知道该从何下手，不太清楚每一项具体代表什么含义，只能通过查阅资料，连蒙带猜的进行分析，特别是在抓包或者是拍照的时候，感觉有点力不从心，无从下手。

同时，通过对恶意代码的分析，本次实验也是收获了很多的东西，通过自己动手实践，实现了从攻击者身份到检测、分析者身份的转变，更全面的理解了前两次实验中生成的后门程序到底在做什么，对恶意代码有了更深入的理解。