【实验目的】
1、搭建虚拟机,设置安全的病毒运行环境
2、了解监控病毒行为的常用工具
3、掌握病毒行为监控软件的使用方法
4、使用病毒行为监控软件捕获病毒行为
【实验原理】
为达到其目的,计算机病毒会对操作系统做一些改动,这种改动体现为对文件、进程、注册表和网络等进行操作。监控病毒的这些行为是快速分析病毒的捷径。
【实验内容】
1、搭建病毒分析实验室
(一)启动计算机-进入第四个操作系统-打开VMWare-选择windows虚拟机
(二)虚拟机设置(自己的电脑上必须设置)
(1)真实机:设置受限文件夹(受限文件夹内的可执行文件是不能运行的)
a)运行-gpedit.msc
b)依次选择“计算机配置”“windows设置”“安全设置”“软件限制策略”“其他规则”。若没有“其他规则”,如下操作新建软件限制策略:
c)否则:在“其他规则”处,单击鼠标右键,选择“新路径规则”,做如下操作右键新建路径规则:
d)重启计算机
(2)设置共享文件夹:
a)虚拟机中依次选择:虚拟机-设置-选项-共享文件夹
b)在虚拟机中查看共享文件夹:
“我的电脑”-“单击鼠标右键”-“映射网络驱动器”
(3)虚拟机断网:
a)“本地连接”—禁用
(三)运行keylogger.exe
(1)设置文件夹选项:显示所有文件和文件夹
(2)病毒运行前观察:
a)是否存在隐藏文件夹:
C:WINDOWSr_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]
b)是否存在文件:
C:WINDOWSr_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB
4] debugsrv.exe
C:WINDOWSr_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB
4]debugsrv.exe_bug.log
不存在隐藏文件夹和文件
c)是否启动进程:debugsrv.exe
没有启动进程
d)查看注册表:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
是否存在键值:MSWDebugServer
*
不存在键值:MSWDebugServer
(3)病毒运行后观察:(确认:虚拟机未连接移动设备、断网)
a)病毒运行后,操作系统有异常吗?
b)观察文件、进程、注册表项等:
1)文件:
C:WINDOWSr_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4] debugsrv.exe
C:WINDOWSr_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]debugsrv.exe_bug.log
出现了之前没有的隐藏文件:
2)进程:
C:WINDOWSr_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]debugsrv.exe
出现了之前没有的进程
3)注册表项:(观察MSWDebugServer的值)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun——MSWDebugServer
出现了之前没有的注册表项
(4)恢复快照:病毒分析实验室
(四)安装监控软件
(一)将FileMon(文件监控)、RegMon(注册表监控)、Process Explorer(进程监控)、TCPView(网络监控)和IceSword(病毒辅助分析工具)复制到虚拟机中,依次点击运行。
a)了解FileMon,RegMon的输出界面:
第一项”#”表示文件操作记录的行号;
第二项“Time”,操作发生的时间,可以切换;
第三项“Process”进行文件操作的进程名,很重要;
第四项“Request”文件操作的方式:
FileMon:关注值为Create、Open、Write、Delete的项
RegMon:关注值为DeleteValueKey,SetValue的项
第七项“Other”文件操作的相关信息,文件的长度属性等信息。
b)FileMon和RegMon的快捷按钮
1):是否进行文件监控
2) :是否禁止自动滚动
3) :监控前清空屏幕记录
4) :设置过滤规则
5) 字体修改:Option-Font(选项-字体)
c)FileMon和RegMon的过滤设置
“Filter”按钮可以设置并查看过滤项规则
新建过滤规则:
1.添加不需要监控的进程,Vmware相关进程,ctfmon.exe; TPAutoconnect.exe; Lsass.exe; FileMon.exe; Regmon.exe; tcpview.exe; procexp.exe; vmtoolsd.exe; System等。
Explore.exe和iexplore.exe会被病毒利用,不要过滤。
2.设置日志监控方式:选择“日志写入”“日志成功”
3.也可以在输出界面选择该进程,单机鼠标右键选择 Exclude Process。
d)Processes Explorer设置
注意输出窗口进程颜色。绿色表示新建进程,红色表示将要结束 的进程,粉色表示服务进程。
注:TCPView和Procexp放在前端,FileMon和RegMon放在后端
e)IceSword:基于内核的查杀工具
1)可查出所有隐藏进程
2)可同时结束多个进程
同时结束多个进程,可解决病毒进程间可相互启动的问题
3)查看模块信息:查看进程加载的模块信息
(2)拍摄快照,命名为:病毒分析实验室
(二)观察keylogger.exe病毒行为,记录监控软件所观察到Keylogger对文件、注册表和进程的修改。
(5)病毒行为:keylogger.exe
(1)通过监控软件观察病毒行为
a)恢复虚拟机快照:“病毒分析实验”快照
b)依次运行FileMon、RegMon、Process Explorer、TCPView、IceSword
i.设置FileMon、RegMon过滤规则:
添加不需要监控的进程:
ctfmon.exe;TPAutoconnect.exe;Lsass.exe;FileMon.exe;Regmon.exe;tcpview.exe;procexp.exe;vmtoolsd.exe;System等。
Explore.exe和iexplore.exe会被病毒利用,不要过滤。
设置日志监控方式:选择“日志写入”“日志成功”
C)
ii.设置Process Explorer:
单击进程项字段,按照分支(父子关系)方式显示进程
iii.打开IceSword:
观察启动组模块,监视进线程创建模块
c)运行病毒程序:观察监控软件记录的变化。
d)恢复快照:病毒分析实验室
(1)在File Monitor中debugsrv.exe和server.exe启动了多个进程:
(2)在Registry Monitor中有大量的Explore.exe可以被病毒利用:
(3)在Process Explorer中病毒程序的进程显示为紫色,代表自有进程,它伪装成了系统进程:
(4)但不知到为什么我在TCPView中没有查看到病毒进程,讲道理这是查看端口和线程的,只要病毒在内存中运行,一定会打开某个端口,但不知到为什么没有:
(5)在兵刃中病毒文件由注册表项创建了一个模块。
(三)回答问题
思考:
病毒为何长期存在并难以察觉?
因为它在系统盘C:windows下新建了一个隐藏文件夹,一般人不把文件夹中的显示隐藏文件夹选项打开的话,很难发现隐藏文件夹下的病毒文件;另一方面,大部分的系统配置文件也都是默认设置为隐藏文件,在系统盘C:下,有很多这样的隐藏文件夹和文件,如果不知道病毒的具体路径,找病毒文件无异于大海捞针。
keylogger.exe如何实现自启动?
通过修改注册表:在系统自启动文件路径HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
下,新建了键值:MSWDebugServer,在开机系统文件启动时,病毒文件也就跟着启动了。
有没有其他的自启动方法?
还有windows中其他的自启动项: 一 、两个文件夹 (1)系统分区(一般为C盘)的 Documents and
Settings用户名「开始」菜单ProgramsStartup (启动)目录 (2)C:/Documents and
SettingsAllUsers「开始」菜单ProgramsStartup (启动) 二 、十一个注册表子键 (1)Load
HKEY_CURRENT_USERSoftwareMicrosoftWindows
NTCurrentVersionWindowsload (2)Userinit
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
NTCurrentVersionWinlogonUserinit (3)ExplorerRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
对当前用户生效
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
对所有用户生效 (4)RunServicesOnce 用来启动服务程序,启动时间在用户登录之前,而且先于其他通过注册表键启动的程序
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
(5)RunServices RunServices 子键也是在用户登录前及其他注册表自启动程序加载前面加载
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
(6)RunOnceSetup RunOnceSetup 指定了用户登录之后运行的程序
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceSetup (7)Run HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
(8)windows中加载的服务 这里加载的服务具有最高的优先级
HKEY_LOCAL_MACHINESystemCurrentControlSetServices
这里面的Start键的值确定了服务的启动状态:2表示自动运行,3表示手动运行,4表示禁止 (9)Windows Shell Windows
Shell 位于HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
NTCurrentVersionWinlogon下面的Shell字符串类型键值中,默认值为Explorer.exe
(10)BootExecute——属于启动执行的一个项目
系统通过它来实现启动Native程序,Native程序在驱动程序和系统核心加载后将被加载,此时会话管理器(smss.exe)进行Windows
NT用户模式并开始顺序启动Native程序。 它位于注册表中
HKEY_LOCAL_MACHINESystemControlSet001ControlSession Manager
下,有一个BootExecute键,用于系统启动时的某些自动检查。这个启动项里的程序是在系统图形界面完成前就被执行的,具有很高的优先级。
(11)组策略加载程序
在“运行”对话框输入“Gpedit.msc”打开组策略,展开“用户配置”->“管理模板”->“系统”->“登录”,就可以看到用户设置的登录时运行的项目。另外在注册表中
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionGroupPolicy
Objects本地UserSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
也可以看到相对应的键值。
时常关注以上启动项,对自己的电脑安全负责。
2、观察病毒行为:Server.exe
确认虚拟机处于“病毒分析实验”快照状态(虚拟机未连接移动设备、断网)
(1)观察病毒的运行程序是哪个文件,该文件存放的绝对路径?(Filemo.exe、Process Explorer—Procexp.exe)
病毒的运行程序是debugsrv.exe,该文件存放的绝对路径C:WINDOWSr_GUID[F481B223-3705-45B3-B9AB-C0D9A3FDEBB4]debugsrv.exe。
(2)病毒运行后,启动了哪些进程?(Process Explorer—Procexp.exe)
启动了Explorer.exe,debugsrv.exe
(3)病毒如何实现自启动?(IceSword.exe)
通过修改注册表:在系统自启动文件路径HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下,新建了键值:MSWDebugServer,在开机系统文件启动时,病毒文件也就跟着启动了。
(4)病毒的键记录写入哪个文件中?(Filemo.exe)
写进了C:DOCUME1ADMINI1LOCALS~1Temp
思考:server.exe病毒对操作系统有哪些方面的影响?
改变了自启动项,占用系统进程资源,启动某些系统进程 server.exe病毒如何对操作系统实施影响?
修改注册表,利用Explore.exe和iexplore.exe进程,实现自启动。