1.1 实验名称

恶意软件样本行为分析

1.2 实验目的

1. 熟悉 Process Monitor 的使用
2. 熟悉抓包工具 Wireshark 和 Sniff Master 的使用
3. VMware 的熟悉和使用
4. 灰鸽子木马的行为分析

1.3 实验步骤及内容

第一阶段：熟悉 Process Monitor 的使用

• 利用 Process Monitor 监视 WinRAR 的解压缩过程
• 分析 WinRAR 的临时文件存放位置
• 比较 WinRAR 两种关闭方式的异同点

第二阶段：熟悉抓包工具的使用

• 掌握 Wireshark 和 Sniff Master 的过滤器使用技巧
• 使用 Sniff Master 抓取登录 BBS 的数据包，分析用户名和密码
• 对比 Wireshark 和 Sniff Master 在数据包分析方面的优劣势

第三阶段：VMware 的熟悉和使用

• 掌握 VMware 的 NAT 连接、桥接和 Host-Only 模式
• 配置木马分析环境

第四阶段：灰鸽子木马的行为分析

• 利用灰鸽子木马控制虚拟机
• 使用 Process Monitor 监控被控端的文件和注册表行为
• 使用 Sniff Master 监控木马与控制端的网络通信
• 提出清除方案

第五阶段：思考与实践

• 对大白鲨木马或 PCShare 木马进行行为分析

1.4 实验关键过程、数据及其分析

1.4.3 灰鸽子木马制作

准备实验环境：

• Win2003 作为受害机
• WinXP 作为黑客机
• 网络适配器设置为桥接模式

配置灰鸽子程序：

• 设置黑客机 IP 为目标连接地址
• 自定义启动项名称（如 test_1024）
• 通过共享文件夹将木马发送到目标机

1.4.4 灰鸽子木马的行为分析

使用工具监控：

1. Process Monitor：

   • 过滤灰鸽子进程，发现大量注册表操作
   • 定位到 GrayPigeon_Hacker.com.cn 注册表项

2. Sniff Master：

   • 分析 TCP 通信流量
   • 捕获黑客机与受控机之间的屏幕传输数据

清除木马步骤：

1. 结束 EXPLORER.EXE 进程
2. 删除系统盘中的服务端程序
3. 验证受控机已下线

1.4.5 思考与实践

分析大白鲨木马：

• 配置方式与灰鸽子类似
• 使用 Process Monitor 监控进程
• 使用 Sniff Master 抓包分析 TCP 通信
• 清除方法：结束 user init 进程

1.5 实验体会和拓展思考

端口管理技巧：

1. 查看端口占用：netstat -ano
2. 查找特定端口：netstat -aon |findstr "8090"
3. 查看 PID 对应服务：tasklist|findstr 3304
4. 关闭服务解除端口占用

工具使用心得：

• Sniff Master 在数据包捕获和分析方面表现出色，特别是在实时监控和协议分析方面
• 相比 Wireshark，Sniff Master 提供了更直观的流量可视化功能
• 建议安全分析人员掌握多种抓包工具，根据场景选择最适合的工具