網(wǎng)絡(luò)安全實(shí)驗(yàn)教程（第2版）課件 6惡意代碼

第六章惡意代碼建議學(xué)時(shí)：4內(nèi)部網(wǎng)絡(luò)滲透目錄content手工脫殼實(shí)驗(yàn)2木馬程序的配置與使用實(shí)驗(yàn)1基于沙箱的惡意代碼檢測實(shí)驗(yàn)3手工查殺惡意代碼實(shí)驗(yàn)431木馬程序的配置與使用實(shí)驗(yàn)實(shí)驗(yàn)原理Metasploit包括漏洞掃描、漏洞利用、木馬生成、木馬操作等多個(gè)模塊，通過不同的參數(shù)設(shè)置可實(shí)現(xiàn)較為完整的滲透測試過程。Metasploit由msfvenom前端和msfconsole后端構(gòu)成，前端用于生成木馬或shellcode，后端用于掃描、漏洞利用和木馬的操控。實(shí)驗(yàn)?zāi)康牧私釳etasploit如何配置和生成木馬、植入木馬，了解木馬程序遠(yuǎn)程控制功能。結(jié)合Nmap掃描和Metasploit漏洞利用功能，了解網(wǎng)絡(luò)攻擊從利用漏洞獲取權(quán)限到木馬植入控守的完整過程。41.1實(shí)驗(yàn)設(shè)計(jì)實(shí)驗(yàn)方法實(shí)驗(yàn)工具使用Metasploit：（1）掃描目標(biāo)主機(jī)，利用ms17_010漏洞獲取目標(biāo)主機(jī)的權(quán)限（2）配置生成可執(zhí)行木馬trbackdoor.exe

（3）利用獲取的目標(biāo)權(quán)限植入木馬，并對主機(jī)進(jìn)行遠(yuǎn)程控制Metasploit：免費(fèi)的滲透測試框架。Kali集成Nmap：使用最廣泛的掃描工具之一。Kali集成51.1實(shí)驗(yàn)設(shè)計(jì)實(shí)驗(yàn)環(huán)境實(shí)驗(yàn)環(huán)境為兩臺(tái)虛擬機(jī)組建的局域網(wǎng)絡(luò)，其中虛擬機(jī)網(wǎng)絡(luò)選擇NAT模式虛擬機(jī)1模擬目標(biāo)主機(jī)，其操作系統(tǒng)為Windows7，需關(guān)閉防火墻虛擬機(jī)2模擬攻擊主機(jī)，其操作系統(tǒng)為KaliLinux61.2實(shí)驗(yàn)步驟環(huán)境準(zhǔn)備，啟動(dòng)虛擬機(jī)1和2通過msfvenom工具配置一款用于x64的Windows主機(jī)的可執(zhí)行木馬trbackdoor.exe利用Nmap對目標(biāo)靶機(jī)4進(jìn)行掃描，查看端口及漏洞情況使用Metasploit的輔助模塊對漏洞情況進(jìn)行驗(yàn)證選擇相應(yīng)的漏洞利用模塊進(jìn)行攻擊，獲取遠(yuǎn)程主機(jī)的權(quán)限利用upload命令將之前配置好的木馬trbackdoor.exe上傳到遠(yuǎn)程主機(jī)并啟動(dòng)從漏洞利用得到的shell中退出，選擇exploit/multi/handler監(jiān)聽模塊并進(jìn)行設(shè)置，與木馬一致進(jìn)行攻擊，獲取遠(yuǎn)程主機(jī)的權(quán)限010203040506070872手工脫殼實(shí)驗(yàn)實(shí)驗(yàn)原理惡意代碼分析技術(shù)可分為靜態(tài)分析和動(dòng)態(tài)分析兩類。惡意代碼的靜態(tài)分析是指不執(zhí)行惡意代碼程序，通過結(jié)構(gòu)分析、控制流分析、數(shù)據(jù)流分析等技術(shù)對程序代碼進(jìn)行掃描，確定程序功能，提取特征碼的惡意代碼分析方法；靜態(tài)分析技術(shù)最大的挑戰(zhàn)在于代碼采用了加殼、混淆等技術(shù)阻止反匯編器正確反匯編代碼，因此對加殼的惡意代碼正確脫殼是靜態(tài)分析的前提。對于一些通用的軟件殼，通用脫殼軟件就可以方便地將其還原為加殼前的可執(zhí)行代碼，但是對于自編殼或者是專用殼，就需要進(jìn)行人工調(diào)試和分析。實(shí)驗(yàn)?zāi)康睦谜{(diào)試工具、PE文件編輯工具等完成一個(gè)加殼程序的手工脫殼，掌握手工脫殼的基本步驟和主要方法。82.1實(shí)驗(yàn)設(shè)計(jì)實(shí)驗(yàn)方法實(shí)驗(yàn)環(huán)境對于給定的加過UPX殼的病毒樣本程序email-worm.win32.mydoom.exe，首先利用查殼工具PEiD確定軟件殼類型，然后通過動(dòng)態(tài)調(diào)試工具OllyICE和PE文件編輯工具LordPE等完成樣本的手工脫殼實(shí)驗(yàn)在單機(jī)環(huán)境下完成，使用Windows10系統(tǒng)靶機(jī)92.1實(shí)驗(yàn)設(shè)計(jì)實(shí)驗(yàn)工具PEiD：著名的查殼工具，可以檢測幾乎所有軟件殼類型。除了檢測加殼類型外，它還自帶Windows平臺(tái)下的自動(dòng)脫殼器插件，可以實(shí)現(xiàn)部分加殼程序的自動(dòng)脫殼。OllyICE：OllyDBG的漢化版本，它將靜態(tài)分析工具IDA與動(dòng)態(tài)調(diào)試工具SoftICE結(jié)合起來，工作在Ring3級。此外它還支持插件擴(kuò)展功能。LoadPE：一款PE文件編輯工具，主要功能包括：查看、編輯可執(zhí)行文件，從內(nèi)存中導(dǎo)出程序內(nèi)存映像，程序優(yōu)化和分析等。ImportREConstructor：ImpREC，一款重建導(dǎo)入表的工具。對由于程序加殼而形成的雜亂的導(dǎo)入地址表IAT，可以重建導(dǎo)入表的描述符、IAT和所有的ASCII函數(shù)名。用它配合手動(dòng)脫殼工具，可以實(shí)現(xiàn)UPX、CDilla1、PECompact、PKLite32、Shrinker、ASPack、ASProtect等的脫殼。UPX：一款壓縮殼，其主要功能是壓縮PE文件（如exe、dll等文件），也常被惡意代碼用于逃避檢測102.2實(shí)驗(yàn)步驟利用PEiD確定email-worm.win32.mydoom.exe加殼類型使用OllyICE尋找程序的OEP（原始入口點(diǎn)），此時(shí)運(yùn)行的程序已經(jīng)處于脫完殼的狀態(tài)使用LoadPE工具將運(yùn)行的程序從內(nèi)存轉(zhuǎn)存到磁盤使用ImpREC工具重建導(dǎo)入表修改OEP信息，查找IAT信息獲得IAT信息，修訂PE文件完成脫殼工作0102030405112.3問題討論1、在6.4節(jié)，針對UPX殼介紹了一種利用常見指令定位OEP位置的方法，還有沒有可適用于其他類型殼的定位OEP位置的通用方法？123基于沙箱的惡意代碼檢測實(shí)驗(yàn)實(shí)驗(yàn)原理惡意代碼的動(dòng)態(tài)分析則是將代碼運(yùn)行在沙箱、虛擬機(jī)等受控的仿真環(huán)境中，通過監(jiān)控運(yùn)行環(huán)境的變化、代碼執(zhí)行的系統(tǒng)調(diào)用等來判定惡意代碼及其實(shí)現(xiàn)原理。實(shí)驗(yàn)?zāi)康耐ㄟ^安裝、配置和使用沙箱，熟練掌握沙箱的基本使用方法；結(jié)合沙箱分析器工具BSA（BusterSandboxAnalysis）掌握利用沙箱分析惡意代碼行為的基本原理和主要方法。133.1實(shí)驗(yàn)設(shè)計(jì)Sandboxie：Sandboxie會(huì)在系統(tǒng)中虛擬出一個(gè)與系統(tǒng)完全隔離的空間，稱為沙箱環(huán)境。在這個(gè)沙箱環(huán)境內(nèi)，運(yùn)行的一切程序都不會(huì)對實(shí)際操作系統(tǒng)產(chǎn)生影響。BSA：一款監(jiān)控沙箱內(nèi)進(jìn)程行為的工具。它通過分析程序行為對系統(tǒng)環(huán)境造成的影響，確定程序是否為惡意軟件。通過對Sandboxie和BSA的配置，可以監(jiān)控程序?qū)ξ募到y(tǒng)、注冊表、端口甚至API函數(shù)等的操作實(shí)驗(yàn)方法實(shí)驗(yàn)工具實(shí)驗(yàn)在單機(jī)環(huán)境下完成，使用Windows10系統(tǒng)靶機(jī)實(shí)驗(yàn)環(huán)境安裝配置沙箱Sandboxie和沙箱分析器工具BSA，對給出的惡意代碼wdshx.exe（Trojan.SalityStub）進(jìn)行分析，并生成對該惡意代碼行為的分析報(bào)告。143.2實(shí)驗(yàn)步驟安裝與配置Sandboxie和BSA監(jiān)控木馬程序“wdshx.exe”在沙箱內(nèi)運(yùn)行的行為啟動(dòng)BSA進(jìn)行監(jiān)控在沙箱內(nèi)加載木馬程序wdshx.exe通過BSA記錄的結(jié)果，觀察木馬程序的具體行為010203153.3問題討論1、在利用沙箱動(dòng)態(tài)分析惡意代碼的過程中，除了可觀察惡意代碼對文件系統(tǒng)、注冊表等操作外，還能監(jiān)控惡意代碼執(zhí)行的API函數(shù)，利用這些函數(shù)能夠做什么？164手工查殺惡意代碼實(shí)驗(yàn)實(shí)驗(yàn)原理對于普通的計(jì)算機(jī)用戶，在主機(jī)上安裝主機(jī)防火墻和具有實(shí)時(shí)更新功能的殺毒軟件是防范惡意代碼的基本配置。但是采用了免殺技術(shù)的惡意代碼有時(shí)依然能夠穿透防線，順利地植入主機(jī)并加載運(yùn)行。有一定經(jīng)驗(yàn)的用戶通過主機(jī)系統(tǒng)的異?？砂l(fā)現(xiàn)可疑的進(jìn)程，再借助第三方分析工具，如文件系統(tǒng)監(jiān)控、注冊表監(jiān)控和進(jìn)程監(jiān)控等，分析惡意代碼進(jìn)程，終止其運(yùn)行并使系統(tǒng)恢復(fù)正常。實(shí)驗(yàn)?zāi)康慕柚M(jìn)程檢測和注冊表檢測等系統(tǒng)工具，終止木馬程序運(yùn)行，消除木馬程序造成的影響，掌握手工查殺惡意代碼的基本原理和主要方法。174.1實(shí)驗(yàn)設(shè)計(jì)ProcessMonitor：精確監(jiān)控某一指定進(jìn)程對文件系統(tǒng)和注冊表的操作。ProcessExplorer：可以強(qiáng)制關(guān)閉任何進(jìn)程（包括系統(tǒng)級別的進(jìn)程）。Autoruns：它能夠從系統(tǒng)的菜單、計(jì)劃任務(wù)、服務(wù)、注冊表等多個(gè)位置找出開機(jī)自啟動(dòng)的程序或模塊，為用戶查找惡意代碼的自啟動(dòng)方式提供幫助。實(shí)驗(yàn)方法實(shí)驗(yàn)工具實(shí)驗(yàn)在單機(jī)環(huán)境下完成，使用Windows10系統(tǒng)靶機(jī)實(shí)驗(yàn)環(huán)境對于給定的木馬程序arp.exe，利用進(jìn)程和注冊表檢測工具ProcessMonitor、ProcessExplore、Autoruns實(shí)現(xiàn)對木馬程序進(jìn)程的定位、終止和清除184.2實(shí)驗(yàn)步驟將干凈的虛擬機(jī)進(jìn)行快照保存創(chuàng)建被感染的系統(tǒng)環(huán)境，運(yùn)行惡意代碼樣本任務(wù)管理器定位木馬進(jìn)程將虛擬機(jī)還原為之前干凈的快照。打開ProcMon，配置過濾規(guī)則為監(jiān)控進(jìn)程arp.exe和ati2avxx.exe，運(yùn)行惡意代碼樣本查看木馬進(jìn)程之間的派生關(guān)系查看目標(biāo)進(jìn)程對文件系統(tǒng)和注冊表的操作記錄終止進(jìn)程及所有子進(jìn)程，還原系統(tǒng)01020304060507194.3問題討論1、在手工查殺惡意代碼過程中，如何斷定惡意代碼被完全終止了，如何確定惡意代碼被清除干凈了？2、除了隱藏和免殺外，木馬也會(huì)采取遞歸自啟的方式頻繁衍生新進(jìn)程來對抗用戶終止其運(yùn)行，遇到這種情況，有什么方法可以終止木馬進(jìn)程呢？3、當(dāng)前殺毒軟件的功能越來越強(qiáng)大，如果惡意代碼試圖達(dá)到免殺的效果，那么它需要采用哪些方法避免被殺毒軟件發(fā)現(xiàn)？附錄工具資源Metasploit、Nmap：Kali默認(rèn)安裝PEiD：

https:///pcsoft/yingyong/23616.html

OllyICE：

http:///soft/138775.html

LoadPE：http:///soft/226477.html

ImportREC：https:///pcsoft/yingyong/3634.html

UPX：/

Sandboxie：