20145230熊佳炜《网络对抗》实验四:恶意代码分析
20145230熊佳炜《网络对抗》实验四:恶意代码分析
恶意代码
定义一:恶意代码又称恶意软件。这些软件也可称为广告软件、间谍软件、恶意共享软件。是指在未明确提示用户或未经用户许可的状况下,在用户计算机或其余终端上安装运行,侵犯用户合法权益的软件。与病毒或蠕虫不一样,这些软件不少不是小团体或者我的秘密地编写和散播,反而有不少知名企业和团体涉嫌此类软件。有时也称做流氓软件。安全
定义二:恶意代码是指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最多见的恶意代码有计算机病毒、特洛伊木马、计算机蠕虫、后门、逻辑炸弹等。网络
恶意代码分析
- 静态分析:经过与恶意代码特征库中的一些信息比对,若是相同则认为某个程序是恶意代码。
- 动态分析:经过监控计算机中某程序的运行或其行为,若是行为存在危险则断定其为恶意代码。
实验分析过程
schtasks
首先在C盘中创立一个netstatlog记事本文件,而后打开它照下图编写。
tcp- 随后将其保存为bat文件。即批处理文件。
打开命令行输入schtasks命令,建立了一个计划任务。
函数而后咱们新建一个触发器。
工具而后再新建一个操做。
性能随后咱们以管理员身份运行一下netstatlog20145230会发如今txt日记本文档中出现了咱们的一些日志。
网站
TCPView
- 咱们能够经过它来知道进程与网络通讯的关系,能够监控进程是否联网。
wireshark
- 在上学期的信息安全技术和这学期的网络安全协议中我都会常常用到这个软件,因此对它仍是很了解,知道能够用它来实现抓包,方便咱们对一些协议进行分析。
在后门程序回连时,咱们用wireshark进行抓包能够获得一些信息。
命令行在回连时,咱们也能够用netstat指令看到5230端口的状况。
设计
PROCESS MONITOR
经过PROCESS MONITOR这个程序咱们能够看到系统中进程的更新、运行状态。
3dPROCESS EXPLORER
经过PE这个软件咱们能够查看PE文件编译的一些基本信息。我刚刚用迅雷下载了PE,结果迅雷就出现了里面。
PE ID
PEID这个软件的做用是用来查壳,也对恶意代码的分析有巨大做用,但我在百度上搜索到的这个版本感受很不靠谱,因此就没有下下来实验。
SysTracer
- 首先在附件中下载,而后再进行使用。
- 咱们要使用的就是快照工具,对咱们主机的注册表及硬盘等信息进行扫描分析。
在Kali还没启动监听时咱们快照扫描一次主机,保存为#1。
在Kali启动监听时咱们扫描一下主机,保存为#2。
在主机中后门程序回连时,咱们再次快照,保存为#3。
在比较回连前和回连后的快照后,咱们能够发现,注册表的内容会有所变化,会多了一个KEY。
PS:因为我使用主机作的快照,所有文件扫描花的时间实在太长,我就自主选择了一些东西进行扫描,但也能够看出回连先后主机确实发生了变化。
sysmon
在我使用sysmon时,安装的时候已经成功了,但在新建xml文件时会发生错误,重启过,从新安装过,但都不行,如今尚未解决这个问题,很苦恼。
感觉
此次实验正如指导书上说的,不是让咱们下多少软件,去了解每一个软件的用途,仍是要咱们经过软件学会分析一些内容,一些系统中的重要信息。这些信息与咱们的电脑性能及安全息息相关,好比哪天你快照时发现注册表忽然多出来一个什么东西,那你就得当心了,颇有可能就是恶意代码在做祟。我电脑开两台虚拟机作会很卡,因此此次实验我基本都用个人主机做为靶机来完成的,因此有些东西就很繁琐,由于内容实在太多了。惟一的遗憾就是sysmon那出了点问题,我试了不少不少次都仍是没有解决,我会一直尝试作下去!不抛弃不放弃,就是一种最好的精神。
基础问答
1.若是在工做中怀疑一台主机上有恶意代码,但只是猜测,因此想监控下系统一每天的到底在干些什么。请设计下你想监控的操做有哪些,用什么方法来监控。
答:大概可分为动态分析和静态分析两部分。静态分析有:分析其函数连接库、壳的状况、特征库比对等操做,能够分出一部分恶意代码。但更多时候咱们须要动态分析,咱们能够经过进程随时观察咱们的计算机,还能够经过观察注册表的变化来监控恶意代码,分析计算机中的日志,上一些网站时还能够经过抓包来进行分析。
2.若是已经肯定是某个程序或进程有问题,你有什么工具能够进一步获得它的哪些信息。
答:使用systracer工具创建不一样的快照,而后进一步分析注册表、端口、文件等变化状况。TCPview能够用来查看TCP链接状况。sysmon来分析监控咱们的系统。wireshark能够进行网络抓包。