上次實驗做的是后門原理與實踐,里面已經大概講了殺軟的原理。同時也發現殺軟很多時候不能識別病毒庫中沒有的病毒,這時候就需要自己對惡意程序進行分析了。基本的思路就是通過添加對系統的監控,查看監控的日志來分析哪些程序有可能是惡意程序,然后再對這些程序進行分析。
通常惡意代碼會建立不必要的網絡連接,或者是對系統關鍵目錄進行修改。通過這些特征我們可以初步確定哪些程序有惡意代碼的嫌疑,再將其提交到virustotal等網站上進行進一步的分析。
下面就利用幾個簡單的方法來實現對系統的監控。
通過批處理添加計划任務實施監控
cmd有很多指令可以直接獲取電腦的網絡狀態,而且較為詳細,我們可以通過netstat -bn來獲取計算機的具體網絡連接情況,包括了協議、本地地址、外部地址、狀態和對應的進程,足夠我們監控需求。可以將這句命令寫入批處理文件然后設置其為任務計划自動運行來實現對網絡端口的監測。
date /t>> netlog.txt #寫入日期 time /t >> netlog.txt #寫入時間 netstat -bn >> netlog.txt #寫入網絡連接情況
將上面幾行代碼在記事本中保存下來,然后把后綴.txt改為.bat就可以運行了,之后可以在控制面板的計划任務里面添加新的計划任務,觸發器設置為5分鍾一次,操作改為運行我們的.bat文件就可以了。
下面是記錄下的部分數據:
利用sysmon工具監控
首先去sysinternal官網下載一個Sysmon安裝,安裝需要一個配置文件,說明監控的內容及其他參數,這個文件我直接用了老師給的配置文件,里面的配置信息有以下內容:
1.對除了具有windows和microsoft的簽名認證的程序以外的所有程序的驅動操作實施監控
2.對出了瀏覽器和127.0.0.1:137為原地址之外的所有網絡連接進行監控
3.對explorer.exe、svchost.exe、winlogon.exe、powershell.exe等敏感程序實施線程創建監控,目的是監控后門的遷移
在"運行"窗口輸入eventvwr命令(我是直接輸的,這個命令在哪個目錄輸都可以的),打開應用程序和服務日志,根據Microsoft->Windows->Sysmon->Operational路徑找到記錄文件。
雙擊列出的事件就可以查看詳細信息,如上圖中可以看出我的搜狗輸入法請求了網絡連接。
然后我打開用kali虛擬機連上自己電腦后再進行一次migrate 到explorer下,完成操作后刷新sysmon日志可以找到下面兩個監控,一個網絡連接,一個線程創建。
惡意軟件分析
1.特征庫對比
將上面sysmon監控到的可疑文件上傳到virustotal上掃描看看是否有安全威脅。
一掃就看出問題了,16個殺軟都能殺出來,所以這多半是一個木馬程序。
2.systracer
利用systracer先給電腦照個快照,我選了部分文件添加快照。然后打開虛擬機用msfconsole連上主機,操控遠程主機打開之前快照范圍內的一張圖片,然后再做一次快照,之后對兩個快照進行比較,會發現有很多改變,在里面可以找到剛剛的操作造成的改變。從下圖可以看出backdoor.png被打開之后HKEY_CLASSES_ROOT下的一個注冊表就發生了改變。
實驗體會
這次實驗要求比較簡單,其實我覺得對惡意代碼的分析是比較復雜的,但是這次實驗只是要求做了一個基本系統監控,像是基於行為的方法來對惡意程序進行一輪最初的篩選。其實惡意代碼分析我覺得可以做的很深,靜態分析,動態分析都很復雜,需要很好的匯編基礎才行,加上自己對入侵比較有興趣,沒再做更深入的研究。