2019-2020-2 20175335 丹增罗布《网络对抗技术》Exp4 恶意代码分析

目录：

2019-2020-2 20175335 丹增罗布《网络对抗技术》Exp4 恶意代码分析

• 1 基础知识
  • 1.1 恶意代码的概念与分类
  • 1.2 恶意代码的分析方法
  • 1.3 实践目标
• 2 实践内容及步骤
  • 2.1 系统运行监控
    • 2.1.1 Windows计划任务schtasks
    • 2.1.2 sysmon
  • 2.2 恶意软件分析
    • 2.2.1 静态分析
    • 2.2.2 动态分析
• 3 实验中遇到的问题
• 4 问题回答
• 5 实验体会

1. 基础知识

1.1 恶意代码的概念与分类

• 定义：
  又称恶意软件，指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。
  指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。
• 特征：
  恶意的目的
  本身是计算机程序
  通过执行发生作用
• 分类：
  计算机病毒、蠕虫、后门、特洛伊木马、Rootkit

1.2 恶意代码的分析方法

• 静态分析
• 动态分析

1.3 实践目标

• 监控系统的运行状态，看有没有可疑的程序在运行。
• 分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。
• 假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。

2 实践内容及步骤

2.1 系统运行监控

2.1.1 Windows计划任务schtasks

• 输入以下命令，每五分钟记录下有哪些程序在连接网络。此命令完成后，每隔2分钟就会监测哪些程序在使用网络，并把结果记录在netstatlog.txt文档里。
  schtasks /create /TN netstat5335 /sc MINUTE /MO 1 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
  上条命令中的参数分别为：
  TN是TaskName的缩写，我们创建的计划任务名是netstat5303;
  sc表示计时方式，我们以分钟计时填MINUTE；
  TR是Task Run，要运行的指令是netstat
  bnb表示显示可执行文件名，n表示以数字来显示IP和端口;
  >表示输出重定向，将输出存放在c:\netstatlog.txt文件中

 在C盘中创建一个名为netstat5335.bat的脚本文件（打开记事本，保存到d盘时选所有文件格式，命名以.bat结尾，最后移动到c盘），写入以下内容：

date /t >> c:\netstat5335.txt
time /t >> c:\netstat5335.txt
netstat -bn >> c:\netstat5335.txt

打开控制面板搜索管理工具，然后打开任务计划程序，找到新建的计划netstat5335:

 点击计划属性，然后操作选项卡里面的编辑启动程序,把程序或脚本的cmd改成netstat5335.bat（注：参数为空）

 在常规选项卡勾选不管用户是否登录都要运行和使用最高权限运行。

 程序运行后，打开netstat5335.txt，就能看到计划运行记录下来的联网记录.

1 打开Excel，在数据->自文本导入txt文件。

2 导入向导第1步选择分隔符号。

3 导入向导第2步，选择所有分隔符号。

4 导入数据后如下。

插入数据透视图后右边会有如下界面，将周四拖到下面轴和值，便有了如下数据透视如下图。

分析统计数据

• 常见应用进程
  • MicrosoftedgeCP.exe：运行微软自带浏览器必须运行的windows操作系统的可执行文件
  • svchost.exe:是微软Windows操作系统中的系统文件，是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
  • SearchUL.exe：是小娜（Cortanar）的搜索进程
  • Excel.exe：Excel进程
  • WeChat.exe：微信
• 其他进程
  • 360wpsrv.exe：360我都卸载了他还在偷偷运行。
  • Explorer.exe、Microsedge.exe、LenovoEMDriverAssist.exe、PhotoMaster.exe等！

2.1.2 sysmon

到官网下载sysmon即可！

1.下载Sysinternals套件，Sysmon是该套件中的一个工具，可以监控几乎所有的重要操作。
2.确定要监控的目标。对信任的程序设置白名单，让信任程序尽量不要记到日志里，日志多了不好分析。
3.明确了要监控的目标后，在Sysmon所在的目录下创建相应的配置文件sysmon20175335.xml了，我的配置文件如下：

<Sysmon schemaversion="10.42">
  <!-- Capture all hashes -->
  <HashAlgorithms>*</HashAlgorithms>
  <EventFiltering>
    <!-- Log all drivers except if the signature -->
    <!-- contains Microsoft or Windows -->
    <ProcessCreate onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
    </ProcessCreate>

    <ProcessCreate onmatch="include">
      <ParentImage condition="end with">cmd.exe</ParentImage>
    </ProcessCreate>

    <FileCreateTime onmatch="exclude" >
      <Image condition="end with">chrome.exe</Image>
    </FileCreateTime>

    <NetworkConnect onmatch="exclude">
      <Image condition="end with">chrome.exe</Image>
      <SourcePort condition="is">137</SourcePort>
      <SourceIp condition="is">127.0.0.1</SourceIp>
    </NetworkConnect>

    <NetworkConnect onmatch="include">
      <DestinationPort condition="is">80</DestinationPort>
      <DestinationPort condition="is">443</DestinationPort>
    </NetworkConnect>

    <CreateRemoteThread onmatch="include">
      <TargetImage condition="end with">explorer.exe</TargetImage>
      <TargetImage condition="end with">svchost.exe</TargetImage>
      <TargetImage condition="end with">firefox.exe</TargetImage>
      <TargetImage condition="end with">winlogon.exe</TargetImage>
      <SourceImage condition="end with">powershell.exe</SourceImage>
    </CreateRemoteThread>
  </EventFiltering>
</Sysmon>

这里在任务过程中不做太多要求，但要明确一下各标签的概念！

然后打开以管理员身份运行命令提示符，在sysmon文件夹下输入以下指令
Sysmon.exe -i sysmon.xml
出现安装界面：

<Sysmon schemaversion="10.42">中的10.42意味当前Sysmon的版本为10.42版本，这个版本可以右键点击Sysmon，在属性中查看详细信息获知！

• exclude相当于白名单，不用记录。include相当于黑名单。onmatch意为匹配。

• ProcessCreate表示进程创建

• NetworkConnect是网络连接

• CreateRemote是远程线程创建。这里使用“include”选择记录目标为explorer.exe、svchost.exe、firefox.exe、winlogon.exe和powershell.exe 的远程线程，这些程序的详细含义可以参考学姐的博客！

• FileCrete Time是进程创建时间

4.打开cmd，进入sysmon所在的文件夹，输入Sysmon.exe -i sysmon20175335.xml。

安装成功后，出现sysmon started正常！

 5.打开计算机管理，查看事件查看器，在应用程序和服务日志/Microsoft/Windows/Sysmon/Operational中，我们可以看到按照配置文件的要求记录的新事件，以及事件ID、任务类别以及详细信息。

 6.在这里我们看到的时间线最早的一条日志就是找到我们创建的sysmon20175335.xml配置文件

2.2 恶意软件分析

2.2.1 静态分析

主要有以下几种分析方法：

• 文件扫描（VirusTotal、VirusScan工具等）
• 文件格式识别（peid、file、FileAnalyzer工具等）
• 字符串提取（Strings工具等）
• 反汇编（GDB、IDAPro、VC工具等）
• 反编译（REC、DCC、JAD工具等）
• 逻辑结构分析（Ollydbg、IDAPro工具等）
• 加壳脱壳（UPX、VMUnPacker工具等）

　　(1)文件扫描（virustotal），检出率55/69

• 从下图可以看出：
• 该文件是ApacheBench命令行实用程序
• 根据Apache许可证2.0版（以下简称“许可证”）授权的注释；除非符合许可证，否则您不能使用此文件。您可以在http://www.apache.org/licenses/License-2.0上获取许可证副本，除非适用法律要求或书面同意，否则根据许可证分发的软件是按“原样”分发的，无任何明示或暗示的保证或条件。请参阅许可证，以了解控制许可证下的权限和限制的特定语言。

（2）文件格式识别（pied）

• PEiD(PE Identifier)是一款著名的查壳工具，其功能强大，几乎可以侦测出所有的壳，其数量已超过470种PE文档的加壳类型和签名。
• 对未加壳的后门文件进行扫描：PEiD的主要功能是查壳，所以这个后门文件并没有被它查出异常。

 下图中可以看到运行此文件会运行很多DDL后缀的进行，也就是动态链接库，作用为程序在运行时由系统动态加载到内存中供程序调用，所以调用DDL是正常的。

 对加壳的后门文件进行扫描，可以扫描出upx壳。

 可以看到运行此文件会运行很多DDL后缀的进行，也就是动态链接库，作用为程序在运行时由系统动态加载到内存中供程序调用。

（3）反编译、反汇编（PE Explorer工具）

• PE Explorer是功能超强的可视化Delphi、C++、VB程序解析器，能快速对32位可执行程序进行反编译，并修改其中资源。该软件支持插件，你可以通过增加插件加强该软件的功能，原公司在该工具中捆绑了UPX的脱壳插件、扫描器和反汇编器。

• 文件头信息，并无明显可疑信息。

•  调用的DDL文件：PE Explorer比peid显示更加详细，它指出了DDL文件调用了哪些函数。

• 版本信息：与VirusTotal大同小异。

2.2.2 动态分析

主要有以下几种方法：

• 快照比对（SysTracer、Filesnap、Regsnap工具等）
• 抓包分析（WireShark工具等）
• 行为监控（Filemon、Regmon、ProcessExplorer工具等）
• 沙盒（NormanSandbox、CWSandbox工具等）
• 动态跟踪调试（Ollydbg、IDAPro工具等）
  （1）快照对比（systracer）
  下载安装systracer

点击软件右侧的take snapshot后start,开始捕获；点击stop停止并存储。
捕获五个快照如下：

快照一：未移植后门程序，保存为Snapshot #1
快照二：移植后门程序，保存为Snapshot #2
快照三：运行后门程序并在kali中实现回连，保存为Snapshot #3
快照四：在kali中执行dir指令，保存为Snapshot #4
快照五：在kali中执行exit 指令，保存为Snapshot #5

点击右下角的compare对比快照一和快照二。可以看到快照二新增了后门程序20175335_backdoor.exe，同时增删了其他文件。

你可以在任何想要的时间获取无数个屏幕快照，比较任何一对想要的屏幕快照,并且观察其间的不同之处。获取屏幕快照通常会持续几分钟的时间,这取决于文件和文件夹的数量和注册表项目的总数。

• 远程扫描设置端口号5335。

• 开启后门程序回连kali，成功后创建第二个快照Snapshot #2
• 一段时间过后(中间发生了一些事情)，重新截取快照Snapshot #3
• kali执行shell获取目标机cmd，执行dir后，捕获快照Snapshot #4

点击右下角的compare对比快照一和快照二。可以看到快照二新增了后门程序20175303_backdoor.exe，同时增删了其他文件。

 比快照二三，即后门启动前后的变化，快照三中显示正在运行的程序增加了后门程序。

同时增加了许多ddl文件，即动态链接库。

 （2）抓包分析（WireShark工具）
kali打开msf控制台运行监听程序，windows回联。
kali获得命令窗口后输入dir后捕获的数据包。

抓包数据。

3 实验中遇到的问题

问题1：schtasks监控记录.exe中看不到计划运行记录下来的联网记录？

解决：1.计划属性里参数为空。

问题2：提示“You need to launch Sysmon as an Administrator.

解决：按Windows+X→进入Windows PowerShell(管理员)

问题3:如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

解决：可以用Systracer(分析有关系统异常)；virscan(对指定文件进行分析定性)。Wireshark（进行抓包分析）。

4 问题回答

• 1如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

我认为Windows自带的计划任务schtasks就很好用，按照上面的操作，每五分钟甚至是每分钟记录一下，然后把结果都导入到EXCEL中，看看哪些进程占比较多，是否是可疑进程。
刚刚是做一个大致的筛选，选出比较可疑的，缩小范围之后就可以对这些可疑进程进行分析。
静态分析：VirusTotal、VirusScan进行扫描较为方便
动态分析：SysTracer工具可以创建快照，并对不同快照进行对比分析

• 2如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

用sysmon可以查看该进程创建了哪些日志文件
用SysTracer工具可以查看该进程对注册表、文件还有应用程序进行了哪些修改
用Wireshark进行抓包，可以看该进程传输了哪些数据

5 实验体会

　　通过（exp4）5次实验大大提高了我动手能力和独立解决问题的思维，总体上没遇到很大的问题，在与同学的交流和查询学长学姐的博客中都能很好的解决，在不断地学习过程中有时要用到前面所学到的内容，这让我必须要融会贯通这些知识，让我自己不断得到锻炼，不断提高。知道了恶意代码的分析方法主要分为静态分析方法和动态分析方法，同时也意识到杀毒软件也不是百分百可靠的。