侠客推 网站建设,试玩网站建设,短视频制作软件,wamp网站开发实践目标 1.1是监控你自己系统的运行状态#xff0c;看有没有可疑的程序在运行。 1.2是分析一个恶意软件#xff0c;就分析Exp2或Exp3中生成后门软件#xff1b;分析工具尽量使用原生指令或sysinternals,systracer套件。 1.3假定将来工作中你觉得自己的主机有问题#xff0…实践目标 1.1是监控你自己系统的运行状态看有没有可疑的程序在运行。 1.2是分析一个恶意软件就分析Exp2或Exp3中生成后门软件分析工具尽量使用原生指令或sysinternals,systracer套件。 1.3假定将来工作中你觉得自己的主机有问题就可以用实验中的这个思路先整个系统监控看能不能找到可疑对象再对可疑对象进行进一步分析好确认其具体的行为与性质。 实验内容 一.系统运行监控2分 1使用如计划任务每隔一分钟记录自己的电脑有哪些程序在联网连接的外部IP是哪里。运行一段时间并分析该文件综述一下分析结果。目标就是找出所有连网的程序连了哪里大约干了什么(不抓包的情况下只能猜)你觉得它这么干合适不。如果想进一步分析的可以有针对性的抓包。 2安装配置sysinternals里的sysmon工具设置合理的配置文件监控自己主机的重点事可疑行为。二.恶意软件分析1.5分分析该软件在(1)启动回连(2)安装到目标机(3)及其他任意操作时如进程迁移或抓屏重要是你感兴趣。该后门软件 3读取、添加、删除了哪些注册表项 4读取、添加、删除了哪些文件 5连接了哪些外部IP传输了什么数据抓包分析 课后问题 1如果在工作中怀疑一台主机上有恶意代码但只是猜想所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些用什么方法来监控。首先就是监控自己系统中有哪些程序在运行每个五分钟或者十分钟检查一下系统中有哪些应用程序的进程但是这个时间间隔也有可能会错过一些进程比如说每隔一小时才启动一次的程序有可能不会被记录下来要是他启动时间特别短的话还有就是监控一下远程连接的IP地址和自己的IP地址看一下连接到了哪里再看一下端口号看看是那些应用程序在使用端口。 2如果已经确定是某个程序或进程有问题你有什么工具可以进一步得到它的哪些信息。1.使用sysmon工具监控系统 2.使用VirusTotal分析恶意软件 3.使用Process Monitor分析恶意软件Process Monitor 是一款由 Sysinternals 公司开发的包含强大的监视和过滤功能的高级 Windows 监视工具可实时显示文件系统、注册表、进程/线程的活动 4.使用Process Explorer分析恶意软件Process Explorer是由Sysinternals开发的Windows系统和应用程序监视工具目前已并入微软旗下。不仅结合了Filemon文件监视器和Regmon注册表监视器两个工具的功能还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框增加了进程存活时间图表、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像DLL和内核模式驱动程序加载、系统引导时记录所有操作等。5.使用PEiD分析恶意软件PEiD(PE Identifier)是一款著名的查壳工具其功能强大几乎可以侦测出所有的壳其数量已超过470 种PE 文档 的加壳类型和签名。6.使用systracer分析恶意软件 实验过程与内容 实验一 使用schtasks指令监控系统 使用管理员权限创建任务命令如下schtasks /create /TN netstat5303 /sc MINUTE /MO 1 /TR cmd /c netstat -bn c:\netstatlog.txt命令创建计划任务netstat5303其中TN是TaskName的缩写我们创建的计划任务名是netstat5303sc表示计时方式我们以分钟计时填MINUTETRTask Run要运行的指令是 netstat -bn,b表示显示可执行文件名n表示以数字来显示IP和端口。在C盘先创建一个TXT文件然后把如下代码写入date /t c:\netstat5303.txt time /t c:\netstat5303.txt netstat -bn c:\netstat5303.txt然后修改后缀名改为.bat使其成为一个脚本文件我改的是netstat5303.bat打开我的电脑右键单击管理点击任务计划管理再点击任务计划程序库就可以看到自己刚刚创建的任务计划双击任务点击编辑将“程序或脚本”改为我们创建的netstat5303.bat批处理文件确定即可。添加参数那里需要把其他的数据都删掉在首界面要点击使用最高权限运行否则的话就可能在C盘中无法创建TXT文件因为权限不够无法写入任务还有其他属性比如默认操作为“只有在计算机使用交流电源时才启动此任务”所有说在使用电池的时候你是无法启动此任务的这点要注意执行此任务一段时间后你就会在C盘里面看见自己创建的netstat5303.txt然后在Excel中把自己的数据进行系统性的分析首先导入数据点击数据选择来自文本找到自己的TXT导入进去选择分隔符号可以直接从第十行开始导入分隔符号选为tab键和空格键 列数据格式选为常规就可以了 然后就可以看到自己所创建的表格了非常整齐对表格进行统计做一些数据透视图然后就可以更直观的看到那些应用程序进行了链接从数据里面看到发现winstore链接的次数最多可能是因为我在后台下载win10商店游戏的缘故接下来的程序就是kbasesrv.EXE 他是金山旗下的一个软件程序。该程序由金山旗下软件静默下载安装到电脑里使用特定参数启动并篡改首页。用户双击打开桌面的快捷方式会启动IE浏览器并访问毒霸网址大全。但是我已经在好几天前就已经把金山毒霸给卸载了没想到他还在启动某些服务说明卸载没有卸载完全让人细思极恐可以想象我们以前安装的软件好多都卸载不干净然后就会导致系统运行的越来越慢。在接下来的就是QQ浏览器了因为我用的就是QQ浏览器做实验的时候看一下参考所以他在链接也比较正常了在接下来的就是迅雷了但是我明明没有启动迅雷但是他却在运行这就让人琢磨不透了他究竟是如何启动的什么时候启动的。下面一张图就是本地链接的地址了 可以看到用的最多的就是127.0.0.1和192.168.1.155这应该是我的本机的地址再下来就是我的电脑连接的外部的IP地址了发现链接的最多的就是60.221.218.74放到百度看一下这是哪里这是山西临汾的一个地址 接下来的121.29.54.199这是河北省石家庄市 联通不是太能看出来究竟是哪里的服务器 这个实验到这里基本上就结束了实验二 系统监控——Sysmon工具 Sysmon是微软Sysinternals套件中的一个工具能监控几乎所有的重要操作。首先我们根据实验指导书中的链接下载一下Sysinternals套件下载下来之后解压到c盘或者什么地方都可以只要方便即可接下里我们来新建并编辑配置文件C:\20165303.xml exclude相当于白名单里面的程序或IP不会被记录include相当于黑名单可以把自己想监控的写到黑名单中~这是我编辑的我自己的xml文件Sysmon schemaversion3.10!-- Capture all hashes --HashAlgorithms*/HashAlgorithmsEventFiltering!-- Log all drivers except if the signature --!-- contains Microsoft or Windows --DriverLoad onmatchexcludeSignature conditioncontainsmicrosoft/SignatureSignature conditioncontainswindows/Signature/DriverLoadNetworkConnect onmatchexcludeImage conditionend withchrome.exe/ImageImage conditionend withiexplorer.exe/ImageSourcePort conditionis137/SourcePortSourceIp conditionis127.0.0.1/SourceIp/NetworkConnectCreateRemoteThread onmatchincludeTargetImage conditionend withexplorer.exe/TargetImageTargetImage conditionend withsvchost.exe/TargetImageTargetImage conditionend withwinlogon.exe/TargetImageSourceImage conditionend withpowershell.exe/SourceImage/CreateRemoteThread/EventFiltering
/Sysmon 接下来使用命令sysmon.exe -i C:\20165303.xml进行Sysmon的配置更新与启动这是配置好的截图可以看到各种命令参数。接下来在win10环境下左下角开始菜单右击开始——事件查看器——应用程序和服务日志——Microsoft————Windows——Sysmon——Operational。这里我们可以看到按照配置文件的要求记录的新事件以及事件ID、任务类别、详细信息等等。不同的事件有不同的识别码事件识别码1 :进程建立 事件识别码2 :进程更改了文件创建时间 事件识别码3 :网络连接 事件识别码4 : Sysmon服务状态已变更 事件识别码5 :进程已终止 事件识别码6 :已载入驱动程式 事件识别码7 :已载入影像 事件识别码8 :创建远程线程 事件识别码9 : RawAccessRead 事件识别码10 :进程访问 事件识别码11 :文件创建 事件识别码12 :注册事件(创建和删除对象) 事件识别码13 :注册事件(值集) 事件识别码14 :注册事件(键和值重命名) 事件识别码15 :文件创建流哈希 事件识别码255 :错误观察一个事件识别码为3的详细信息可以看到这是一个有关QQ浏览器网络连接的事件观察一个事件识别码为5的详细信息可以看到这是一个有关搜狗输入法的进程终止事件可以想一下应该是输入终止了然后搜狗输入法结束了输入进程在观察一个事件识别码为1的详细信息可以看到这是有关QQ浏览器的进程建立的事件应该就是qq浏览器重新进行了唤醒然后建立了进程然后我们打开我们的kali虚拟机然后使用我们实验三中的后门文件进行回连然后观察回连成功后的日志可以看到20165303wy.EXE后门程序创建了网络连接这应该就是后门回连的时候创建的网络连接使用tcp连接连接的目的IP地址为192.168.1.154正是我的kali虚拟机的IP地址端口也是我设置的5303端口这详细而又充分的体现了我们通过后门程序控制windows的过程接下来我们进行拍照看一下又创建了哪些进程从图上看到启动了driver这应该是驱动进程我猜想应该是启动了相机的驱动程序而且他的事件识别码也是6已载入驱动程式接下来进行截屏的操作从图上看出来进行了网络连接应该是截了屏之后把数据传过去了所以才会有网络连接事件识别码3 :网络连接这个实验差不多也分析完了比较简单的可以分析出来究竟他干了些什么但是更深层次的就不是那么容易分析了 实验三 恶意软件分析 先把自己的后门软件丢到网站上看一下究竟怎么样发现能被检测出来的概率还是挺大的 使用systracer进行分析 首先下载systracer在网上找了一个中文版的哈哈哈英文版看不太懂https://pan.baidu.com/s/17z9wW_ieYEJCJfz7ky8PQA#list/path%2Fsharelink3890020941-823790193933702%2F20451parentPath%2Fsharelink3890020941-823790193933702这是百度云的链接想要的同学可以直接下载一下就能用了我是在win7虚拟机和kali里面做的英win7虚拟机的文件比较少扫描的时候花的时间更短这是在程序运行的截图点击创建快照若如下图没有全选可以选择——仅扫描指定项然后将下面的全选之后就可以点击开始啦接着等一会扫描结束之后会弹出一个框点击OK快照就会自己保存下来我们可以进行以下操作进行对比操作在win7虚拟机安装SysTracer软件后保存快照命名为Snapshot #1 将木马植入靶机对靶机注册表、文件等进行快照保存为Snapshot #2 打开kali的msfconsle靶机运行木马回连kaliwin7下再次快照保存为Snapshot #3 在kali中对靶机进行屏幕截图win7下再次快照保存为Snapshot #4 在kali中对靶机进行提权操作win7下再次快照保存为Snapshot #5接下来点击右下角的比较看一下究竟有什么变化这是注册表的变化在进行kali回连的时候他对很多注册表项都进行了改变这是文件的变化发现也有不少文件发生了变化尤其是20165303wy.exe,这是我电脑中的后门文件在下面就是应用程序的变化主要的还是我的后门程序的变化20165303wy.exe接下来用wireshark抓包分析连接了哪些外部IP传输了什么数据 设置主机host为192.168.1.154,我的kali虚拟机的IP地址然后回连看抓到了哪些东西发现大部分的包都是请求的tcp三次握手请求建立的包可能他是在大量的发送请求命令然后进行连接然后打开一个命令包看看里面到到底有什么发现果然就是一些建立连接的内容三次握手包然后进行截屏或者录像等操作看看抓了什么 还是一些tcp连接请求包再来看一下具体内容发现也是一些tcp传输数据下面我们用peid文件格式识别peid工具来分析一下 发现查到了加壳upx1 还发现有的并没有发现加壳但是我是加了的 有的也没有被查到哈哈哈哈 然后用pe explorer分析一下发现还有点看不太懂 使用Process Explorer分析恶意软件 由Sysinternals开发的Windows系统和应用程序监视工具目前已并入微软旗下。不仅结合了Filemon文件监视器和Regmon注册表监视器两个工具的功能还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框增加了进程存活时间图表、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像DLL和内核模式驱动程序加载、系统引导时记录所有操作等。靶机运行后门程序进行回连的时候可以看的到20165303wy程序进行了运行还有他的子程序conhost也进行了运行下面这是程序的详细信息这个软件还可以让我们进行系统资源的监控类似于Windows的资源监控器使用Process Monitor进行分析 Process Monitor一款系统进程监视软件总体来说Process Monitor相当于FilemonRegmon其中的Filemon专门用来监视系统 中的任何文件操作过程而Regmon用来监视注册表的读写操作过程。 有了Process Monitor使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录通过注册表和文件读写的变化 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说非常 有用。 这是一个高级的 Windows 系统和应用程序监视工具由优秀的 Sysinternals 开发并且目前已并入微软旗下可靠性自不用说。 运行后门程序进行回连下面是找到这个程序的截图不得不说找了费老半天劲进程的详细信息如下这是这个后门程序引用的各种其他的库实验中遇到的问题 首先就是无法生成netstat5303的问题就是在C盘里权限不够无法写入你需要加一个在最高权限下运行就可以成功创建.txt文件了然后就是在Excel中无法创建数据透视图的问题由于自己Excel知识没有学好所以需要在百度现学习尤其是怎么统计链接数量那里搞了好久再有就是Sysmon软件老是安装不成功可能是因为我没有按管理员权限运行的结果还有就是systracer软件里面东西太多无法靠自己来充分理解里面的变化只能是知道里面有哪些发生了变化而且刚开始在win10主机里做的时候win10系统太庞大扫描一次要花费很长时间所以后来移到了虚拟机中实验总结与体会 本次实验让我对电脑中的恶意软件进行了分析首先让我感触很深 的就是金山毒霸因为上次实验要用所以下载了这个金山毒霸一般我的电脑是不想装杀毒软件的但是我在后来卸载了以后还是有金山毒霸的进程在系统中频繁的运行所以说很多杀毒软件就是恶意软件还有一些软件就是频繁的自启动并且进行网络连接再有通过后门恶意软件分析知道了后门软件还是可以通过监控发现的他们修改通过注册表和一些文件的变化来达到自己的目的这次实验让我从攻击者的身份转变到了分析者这个感觉很奇妙让我明白了这些恶意软件到底是如何通过什么方式进行运行的收获非常大。 转载于:https://www.cnblogs.com/Vventador/p/10652292.html
