第一階段:熟悉Process Moniter的使用
利用Process Moniter監視WinRAR的解壓縮過程。
設置過濾器:進程名稱 包含 winrar.exe。應用。
打開Process Moniter的狀態下進行如下操作:
創建新建文本文檔,內容為學號+姓名。
添加到壓縮文件。
解壓。
同時觀察Process Moniter。
壓縮時:
解壓時:
利用Process Moniter分析WinRAR的臨時文件存放在哪個文件夾中。
臨時文件保存在:C:\Documents and Settings\LQ\Local Settings\Temp
先打開壓縮文件。
雙擊txt文件。
查看Process Moniter
可見位置為C:\Documents and Settings\LQ\Local Settings\Temp
在文件夾選項中選擇顯示隱藏的文件夾。
C:\Documents and Settings\LQ\Local Settings\Temp\Rar$DIa3108.17821
內容一致:
WinRAR壓縮包內文件直接打開后,有兩種關閉方式:先關閉打開的文件,再關閉打開的壓縮包。另外一種方式是先關閉打開的壓縮包,再關閉打開的文件。利用Process Moniter分析上述兩種方式的不同點。
這里采用word文檔觀察。因為txt文檔在打開狀態下也可以被刪除,而word則不會。
先關文檔:
打開壓縮包:
此時temp文件夾下不會創建相應的文件夾。
打開文檔:
此時temp文件夾下創建了相應的文件夾
關閉文檔:
相應文件夾還存在。
關閉壓縮包:
相應文件夾刪除
先關壓縮包
打開壓縮包:
此時temp文件夾下不會創建相應的文件夾。
打開文檔:
此時temp文件夾下創建了相應的文件夾
關閉壓縮包:
此時由於是word文件,文件夾不會被刪除,相當於這個文檔已經成為了獨立的文件。
以上即為不同點。
第二階段:熟悉抓包工具Wireshark的使用
熟練Wireshark軟件的使用,着重掌握Wireshark的過濾器使用。
設置:
使用Wireshark抓取登錄珞珈山水BBS的數據包,並且通過分析數據包獲得用戶名和密碼
這里學長告知珞珈山水BBS http.request.method=="POST"
先查一下珞珈山水BBS的ip地址
然后start
在抓到的包里找類似的ip, HTTP。
抓包成功
Id=liuqia
Password=123456
第三階段:VMware的熟悉和使用
着重掌握VMware的網絡設置方式,主要有NAT連接、橋接和Host-Only模式。
在VMware虛擬機右鍵,可以設置各項屬性。這里可以看到XP的虛擬機采用NAT連接。
設置網絡(四種網絡連接選項)
Host-Only
虛擬機與宿主機具有不同的IP地址,與宿主機位於不同網段。從網絡技術上相當於為宿主主機增添了一個虛擬網卡,讓宿主主機變成一台雙網卡主機。這種方式只能進行虛擬機和宿主機之間的網絡通信,網絡內其他機器不能訪問虛擬機,虛擬機也不能訪問其他機器。
Bridge(橋接方式)
虛擬機與宿主機具有不同的IP地址,與宿主機保持在同一網段。宿主機局域網內其他主機可以訪問虛擬機,虛擬機也可以訪問網絡內其他機器。
NAT連接
與Host-only一樣,宿主主機成為雙網卡主機,同時參與現有的宿主局域網和新建的虛擬局域網,但由於加設了一個虛擬的NAT服務器,使得虛擬局域網內的虛擬機在對外訪問時,完全“冒用”宿主主機的IP地址。這種方式可以實現本機系統與虛擬系統的雙向訪問,但網絡內其他機器不能訪問虛擬系統,虛擬系統可以通過本機系統用NAT協議訪問網絡內其他機器。
自定義接口
配置自己的木馬分析環境
同時右鍵有快照功能。可以在惡意軟件樣本分析后恢復原有系統環境。
創建快照
虛擬機運行到某個階段,可以創建一個快照保存當前的系統環境。
恢復快照
創建快照后,用戶可以在任意時刻恢復快照,這時系統將恢復到快照保存的系統環境
快照管理
可以對保存的快照進行刪除、克隆等操作
樣本分析環境的搭建:
安裝虛擬機軟件
安裝純凈版系統鏡像
安裝必要的辦公軟件
拷貝干凈的工具並且安裝需要安裝的分析工具
創建虛擬機快照
樣本分析環境的說明:
斷網環境(分析網絡行為時例外)
禁止可移動存儲設備
樣本隔離
環境隔離
可執行程序單向性
備份
第四階段:灰鴿子木馬的行為分析
熟悉灰鴿子木馬的使用,利用灰鴿子木馬控制虛擬機。
解壓文件時注意在虛擬機做,不然可能會被殺毒軟件清除文件。
然后實驗前關閉虛擬機和主機的防火牆,殺毒軟件。
注意快照以備恢復。
進行前先ping一下服務端,確保可以連接
建立ftp服務器
然后點擊自動上線進行設置 (灰鴿子采用主動連接,控制端服務器端口2121) ip文件內容就是主機(服務器)ip地址以及開啟的端口
主機(控制端)的ip
服務端設置(被控端) 通知訪問控制端的ip
生成服務器
之后將server拷貝到目標虛擬機,安裝,重啟。可以看到右下角的灰鴿子小圖標(鼠標左右鍵均無法操作)
這時候控制端(客戶端)就看到了上線的服務端
可以查看文件,進行刪除等操作
上方還有錄屏錄音功能
遠程控制功能
編輯注冊表
利用Process Moniter監控感染灰鴿子木馬的被控段的文件行為和注冊表行為。
過濾器設置:
文件行為:復制自身到C:\Windows目錄
注冊表行為:通過服務啟動
利用Wireshark監控灰鴿子木馬與控制端的網絡通信。
TCP三次握手連接
被控端與控制端之間的通信過程
設置:
提出灰鴿子木馬的清除方案
- 卸載軟件。灰鴿子可能附着於某些軟件,要卸載。
- 清除生成的惡意文件。Server會生成一些惡意文件,卸載軟件也不會清除,要手動清除
G_Server.exe運行后將自己拷貝到Windows目錄下(98/xp下為系統盤的windows目錄,2k/NT下為系統盤的Winnt目錄),然后再從體內釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個文件相互配合組成了灰鴿子服務端, G_Server_Hook.dll負責隱藏灰鴿子。通過截獲進程的API調用隱藏灰鴿子的文件、服務的注冊表項,甚至是進程中的模塊名。截獲的函數主要是用來遍歷文件、遍歷注冊表項和遍歷進程模塊的一些函數。所以,有些時候用戶感覺中了毒,但仔細檢查卻又發現不了什么異常。有些灰鴿子會多釋放出一個名為G_ServerKey.dll的文件用來記錄鍵盤操作。注意,G_Server.exe這個名稱並不固定,它是可以定制的,比如當定制服務端文件名為A.exe時,生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊成服務(9X系統寫注冊表啟動項),每次開機都能自動運行,運行后啟動G_Server.dll和G_Server_Hook.dll並自動退出。G_Server.dll文件實現后門功能,與控制端客戶端進行通信;G_Server_Hook.dll則通過攔截API調用來隱藏病毒。因此,中毒后,我們看不到病毒文件,也看不到病毒注冊的服務項。隨着灰鴿子服務端文件的設置不同,G_Server_Hook.dll有時候附在Explorer.exe的進程空間中,有時候則是附在所有進程中。
3.清除注冊表。清除相關注冊表。