20145332盧鑫 惡意程式碼分析
實驗內容
惡意程式碼靜態分析
1.使用網站進行分析
分析實驗二中生成的病毒程式:
因為生成後才想到名字問題,本來是20145332.exe,掃描時改成了bd5332.exe
通過分析發現,該程式加了殼,是由UPolyX v0.5加的。
可以建立到一個指定的套接字連線,是網路連線
可以自行刪除登錄檔鍵以及登錄檔鍵值
可以看出生成它的IP的一部分以及連線埠號
2.PE Explore
可以看出編譯時間為2009年4月9日10:33:58
PE檔案頭的資訊以及連結器的版本號為6.0
檢視匯入表:
ADVAPI32.dll:一個高階API應用程式介面服務庫的一部分,呼叫這個dll可以實現對登錄檔的操控
WSOCK32.dll和WS2_32.dll:建立套接字,發生網路連線
從這些程式中對比執行時的狀況。。。就能感覺這個程式不太對。。。
3.PE ID
在下方顯示什麼都沒找到,但如果是沒有加殼的程式,會直接顯示出編譯器的名稱
在彙編程式碼中,就可以直接看到程式是幹嘛的
4.Depandence Walker
通過這個軟體可以看出dll呼叫
惡意程式碼動態分析
1.TCP View
電腦進行的網路連線真的好多。。。
2.sysmon
安裝:
編輯xml不成功。。。沒解決:
3.SysTracer
首先對主機進行一次快照,名字是Snapshot #1
等生成病毒檔案後再進行一次快照,名字為Snapshot #2
將主機與Kali連線成功後進行快照,名字為Snapshot #3
通過Kali對主機進行操作後進行快照,名字為Snapshot #4
進行對比1和2:
登錄檔發生變化,且電腦中新增了病毒檔案(沒有顯示的原因應該是病毒檔案我沒有放到電腦的信任區裡。。。所以顯示有問題)
進行對比2和3:
回連成功後多了一個登錄檔鍵
進行對比3和4:
登錄檔資訊又發生變化
4.Wiershark
可以看出雙方通訊的埠號5332,源目的MAC地址,源目的IP地址,使用了TCP協議
回答問題
(1)如果在工作中懷疑一臺主機上有惡意程式碼,但只是猜想,所有想監控下系統一天天的到底在幹些什麼。請設計下你想監控的操作有哪些,用什麼方法來監控。
答:可以監控登錄檔的改變,軟體的行為,還有進行網路行為時的IP地址等。
可以使用wireshark捕包軟體,可以使用TCPView檢視連線,還又這次實驗用到的sysmon。
(2)如果已經確定是某個程式或程式有問題,你有什麼工具可以進一步得到它的哪些資訊。
答:可以使用PEID,Dependence Walker,去專業網站掃描,TCPView等軟體。
實驗總結與體會
這次發現可以用來分析的軟體有這麼多,而且軟體之間也會通用性,就是不太好分析。。。可能英語沒學好吧。。。但是覺得電腦真的太容易中病毒了!!!以後下軟體還是可靠一些的好