《网络攻防》 恶意代码分析

20145224陈颢文 《网络攻防》恶意代码分析

基础问题回答

如果在工作中怀疑一台主机上有恶意代码，但只是猜想，所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些，用什么方法来监控。

创建进程、修改注册列表、网络连接；可以使用任务管理器和抓包工具，但是这样太费时费力了，还是用计划任务吧；

如果已经确定是某个程序或进程有问题，你有什么工具可以进一步得到它的哪些信息。

可以使用反汇编或者反编译工具查看他的代码，也可以让他在沙盘中运行看他的行为，或者上传到

VirusTotal

中扫面以下，看他的行为分析；

实验总结与体会

既然已经认识到杀软也不是那么的靠谱了，靠天靠地不如靠自己，自己设个计划任务监管自己的电脑吧，不过这个过滤条件一定要设置得精细，不然日志中的事件实在是太多了看不过来；

实践过程记录

GE_Windows计划任务schtasks

在控制面板中打开

任务计划程序

，在右边“操作”窗口中点击

创建任务

输入任务名和描述，注意要勾选

使用最高权限运行

触发器选择5分钟一次：



操作为

启动程序

，

程序或脚本

填“cmd /c netstat -bn > c:\netstatlog.txt”：



在C盘就可以看到

netstatlog.txt

文件啦：

Sysmon

sysmon

是

sysinternals

套件中的一个工具，可以在老师的Git里去下载；

写好配置文件，我的建议是写的仔细一些，把常用的类似于浏览器、迅雷、输入法、各种播放器排除在外；



然后右键

选择

命令提示符（管理员）

，



转到

sysinternals

目录下，运行

sysmon.exe -i 配置文件所在路径

；



这样

sysmon

就配置好了，一天后等着收网就好啦！

想找到

sysmon

记录下来的文件，在"运行"窗口输入命令

eventvwr

，

应用程序和服务日志

->

Microsoft

->

Windows

->

Sysmon

->

Operational

日志条目特别多，但我还是发现了异常项：



把目的IP百度了一下：



百度中也没有对这个地址的负面报道，自己看看不出个所以然来，就安慰自己是

sysmon

漏记了相关信息了吧~

恶意代码的分析

首先是拿恶意代码送检，查看他的行为分析：



可以看到这个程序会

建立到一个指定的套接字链接

，说明这个程序会自动的链接网络；它还删除注册列表，仔细看看，他删的还是

ErrorRrporting

,哇塞，这就很可疑了，你不干坏事的话删这注册列表干嘛！