1.1实验名称
恶意软件样本行为分析
1.2实验目的
1) 熟悉 ProcessMonitor的使用
2)熟悉抓包工具 Wireshark的使用
3)VMware的熟悉和使用
4)灰鸽子木马的行为分析
1.3 实验步骤及内容
第一阶段:熟悉ProcessMonitor的使用
利用 ProcessMonitor监视 WinRAR的解压缩过程。
利用 ProcessMonitor分析 WinRAR的临时文件存放在哪个文件夹中。
WinRAR压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭
打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用Process Monitor分析上述两种方式的异同点。
第二阶段:熟悉抓包工具Wireshark的使用
熟悉 Wireshark软件的使用,着重掌握 Wireshark的过滤器使用。
使用 Wireshark抓取登录珞珈山水 BBS的数据包,并通过分析数据包获得用户名和密码。
第三阶段:VMware的熟悉和使用
着重掌握 VMware的网络设置方式,主要有 NAT连接、桥接和 Host–Only模式。配置自己的木马分析环境。
第四阶段:灰鸽子木马的行为分析
熟悉灰鸽子木马的使用,利用灰鸽子木马控制虚拟机。
利用 ProcessMonitor监控感染灰鸽子木马的被控端的文件行为和注册表行为。利用 Wireshark监控灰鸽子木马与控制端的网络通信。
提出灰鸽子木马的清除方案。
第五阶段:思考与实践
尝试对大白鲨木马或 PCShare木马进行行为分析。
1.4 实验关键过程、数据及其分析
1.4.1 熟悉Process Monitor的使用
首先利用Process Monitor监视WinRAR的解压缩过程。打开软件Process Monitor,并点击filter。在弹出的对话框中Architecture下拉框,选择ProcessName填写要分析的应用程序名字,点击Add添加、Apply应用。这里也可以增加其他过滤规则。
接着测试解压实验工具中的rar压缩包,同时检测ProcessMonitor的监控信息,可以发现成功捕获到了WinRAR解压缩过程。
接下来利用ProcessMonitor分析WinRAR的临时文件存放在哪个文件夹中。
通过查看创建文件的操作对进程过滤,可以发现WinRAR相关的文件开启进 程操作,进而发现临时路径,右键jump to,跳转到该路径。
可 以 看 到WinRAR 的 解 压 缩 临 时 路径 是 : C:\DocumentsandSettings\Administrator\Local Settings\Temp\Rar$DIb0.604。
WinRAR压缩包内文件直接打开后,有两种关闭方式:先关闭打开的文件,再关闭打开的压缩包。另外一种方式是先关闭打开的压缩包,再关闭打开的文件。利用Process Monitor分析上述两种方式的异同点。
测试先关闭文件,再关闭压缩包,Process Monitor检测情况如下:
测试先关闭压缩包,再关闭文件,Process Monitor检测情况如下:
实验结果显示文件是.txt时两种方式没有明显的区别。但是当文件是word类型,如果先关闭压缩包再关闭word文档会导致文件存储失败。
1.4.2熟悉抓包工具Wireshark 的使用
Wireshark是目前全球使用最广泛的开源抓包软件,其前身为Ethereal,是一个通用的网络数据嗅探器和协议分析器。如果是网络工程师,可以通过Wireshark对网络进行故障定位和排错;如果安全工程师,可以通过Wireshark
对网络黑客渗透攻击进行快速定位并找出攻击源。
首先进入Wireshark主界面选择以太网,点击start即开始抓包。
接着使用Wireshark抓取登录珞珈山水BBS的数据包,并通过分析数据包获得用户名和密码。打开武汉大学BBS网站,利用Wireshark捕获数据包,对捕获到的数据包进行过滤,看是否可以得到用户名和密码。
当输入用户名和密码,点击登录,可以看到Wireshark软件捕获到了很多流量信息。
然后,我们需要通过过滤器获取HTTP协议且与该IP地址相关的信息。当我们拿到一个网站,需要对其信息进行查询,包括IP地址、端口扫描等,这里通过站长之家获取IP地址,再在Wireshark软件中过滤与该IP相关的流量信息。
接 着 配 置Wireshark 的 过 滤器,过滤条件是“httpand
ip.addr==218.197.148.129”,仅抓取指定的包如下:
发现内容还是很多。进一步过滤“httpandip.addr==218.197.148.129andhttp.request.method==”POST””
可以看到我们刚才登录时输入的账号(lmy)密码(123.com)全部出现。
