恶意代码分析

恶意代码分析
上次实验做的是后门原理与实践，⾥⾯已经⼤概讲了杀软的原理。

同时也发现杀软很多时候不能识别病毒库中没有的病毒，这时候就需要⾃⼰对恶意程序进⾏分析了。

基本的思路就是通过添加对系统的监控，查看监控的⽇志来分析哪些程序有可能是恶意程序，然后再对这些程序进⾏分析。

通常恶意代码会建⽴不必要的⽹络连接，或者是对系统关键⽬录进⾏修改。

通过这些特征我们可以初步确定哪些程序有恶意代码的嫌疑，再将其提交到virustotal等⽹站上进⾏进⼀步的分析。

下⾯就利⽤⼏个简单的⽅法来实现对系统的监控。

通过批处理添加计划任务实施监控
cmd有很多指令可以直接获取电脑的⽹络状态，⽽且较为详细，我们可以通过netstat -bn来获取计算机的具体⽹络连接情况，包括了协议、本地地址、外部地址、状态和对应的进程，⾜够我们监控需求。

可以将这句命令写⼊批处理⽂件然后设置其为任务计划⾃动运⾏来实现对⽹络端⼝的监测。

date /t>> netlog.txt #写⼊⽇期
time /t >> netlog.txt #写⼊时间
netstat -bn >> netlog.txt #写⼊⽹络连接情况
将上⾯⼏⾏代码在记事本中保存下来，然后把后缀.txt改为.bat就可以运⾏了，之后可以在控制⾯板的计划任务⾥⾯添加新的计划任务，触发器设置为5分钟⼀次，操作改为运⾏我们的.bat⽂件就可以了。

下⾯是记录下的部分数据：
利⽤sysmon⼯具监控
⾸先去sysinternal官⽹下载⼀个Sysmon安装，安装需要⼀个配置⽂件，说明监控的内容及其他参数，这个⽂件我直接⽤了⽼师给的配置⽂件，⾥⾯的配置信息有以下内容：
1.对除了具有windows和microsoft的签名认证的程序以外的所有程序的驱动操作实施监控
2.对出了浏览器和127.0.0.1:137为原地址之外的所有⽹络连接进⾏监控
3.对explorer.exe、svchost.exe、winlogon.exe、powershell.exe等敏感程序实施线程创建监控，⽬的是监控后门的迁移
在"运⾏"窗⼝输⼊eventvwr命令（我是直接输的，这个命令在哪个⽬录输都可以的），打开应⽤程序和服务⽇志，根据Microsoft->Windows->Sysmon->Operational路径找到记录⽂件。

双击列出的事件就可以查看详细信息，如上图中可以看出我的搜狗输⼊法请求了⽹络连接。

然后我打开⽤kali虚拟机连上⾃⼰电脑后再进⾏⼀次migrate 到explorer下，完成操作后刷新sysmon⽇志可以找到下⾯两个监控，⼀个⽹络连接，⼀个线程创建。

恶意软件分析
1.特征库对⽐
将上⾯sysmon监控到的可疑⽂件上传到virustotal上扫描看看是否有安全威胁。

⼀扫就看出问题了，16个杀软都能杀出来，所以这多半是⼀个⽊马程序。

2.systracer
利⽤systracer先给电脑照个快照，我选了部分⽂件添加快照。

然后打开虚拟机⽤msfconsole连上主机，操控远程主机打开之前快照范围内的⼀张图⽚，然后再做⼀次快照，之后对两个快照进⾏⽐较，会发现有很多改变，在⾥⾯可以找到刚刚的操作造成的改变。

从下图可以看出backdoor.png被打开之后HKEY_CLASSES_ROOT下的⼀个注册表就发⽣了改变。

实验体会
这次实验要求⽐较简单，其实我觉得对恶意代码的分析是⽐较复杂的，但是这次实验只是要求做了⼀个基本系统监控，像是基于⾏为的⽅法来对恶意程序进⾏⼀轮最初的筛选。

其实恶意代码分析我觉得可以做的很深，静态分析，动态分析都很复杂，需要很好的汇编基础才⾏，加上⾃⼰对⼊侵⽐较有兴趣，没再做更深⼊的研究。