首页 > 其他分享 >20222410 2024-2025-1 《网络与系统攻防技术》实验四实验报告

20222410 2024-2025-1 《网络与系统攻防技术》实验四实验报告

时间:2024-11-01 12:09:02浏览次数:5  
标签:脱壳 exe rada 恶意代码 2024 2025 20222410 crackmeplease 输入

1.实验内容

1.1

2.实验过程

2.1 恶意代码文件类型标识、脱壳与字符串提取

2.1.1 使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具

kali虚拟机通过file 命令查看文件类型,这是微软 Windows平台、英特尔80386处理器的一个32位PE文件,并且是GUI文件;脱壳前有很多乱码

用PEID查看,发现用了UPX的压缩壳

2.1.2 使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理

2.1.3 使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者和编写时间

2.2 使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息

ida打开crackme1.exe

推测特定输入为I know the secret

在Linux终端测试,发现无法执行,报错指出系统无法找到适合解释或执行这个文件的解释器

解决方法:我先输入命令sudo apt-get install wine安装Wine,然后再用命令 wine crackme1.exe "I know the secret来运行它,最后运行成功。

ida打开crackme2.exe

推测特定输入为I know the secret

在Linux终端测试,发现提示有一个身份的问题。

经过考虑,我们发现在powershell输入的第一个参数为./crackmeplease.exe,而不是

crackmeplease.exe。但是在powershell直接输入crackmeplease.exe不会执行,会报错。

去CMD中运行代码,先将crackme2.exe复制为crackmeplease.exe,再输入crackmeplease.exe “I know the secret”

2.3 分析一个自制恶意代码样本rada

用MD5生成RaDa.exe的摘要信息

执行RaDa.exe,发现它将文件RaDa.exe 复制到了 C:\RaDa\bin 目录下


使用process explorer,查看rada程序的执行信息

  • 二进制文件的摘要及其他信息:caaa6985a43225a0b3add54f44a0d4c7,是Windows平台下32位的可执行文件,使用upx加壳
  • 二进制文件的目的:生成文件,反弹连接到10.10.10.10,方便攻击者进行后续攻击
  • 不同特性:自行复制到指定文件夹,修改注册表实现自启动
  • 采用的防止被分析或逆向工程的技术:UPX
  • 对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由:
    该程序并没有自主传播,也没有伪装成正常程序,因此它是病毒和蠕虫也不是木马,而是一个后门程序,绕过了安全性控制而获取对系统的访问权限
  • 给出过去已有的具有相似功能的其他工具:2013年Sercomm在一些采用其硬件的DSL网关被发现有后门后采取的做法。 这个后门被发现是厂商自己加进去的,利用32764端口进行远程访问
  • 可能调查出这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
    Raul siles和David Perze,2004。先脱壳,通过ida pro查看。
  • 给出至少5种检测该恶意软件的方法,例如基于特征码的方法,需要详细介绍每种方法。

3.问题及解决方案

4.学习感悟、思考等

标签:脱壳,exe,rada,恶意代码,2024,2025,20222410,crackmeplease,输入
From: https://www.cnblogs.com/Lelouch123/p/18519893

相关文章

  • 2024版最新Wireshark安装使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
    前言这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段渗透测试工具第9篇。喜欢的朋友们,记得给大白点赞支持和收藏一下,关注我,学习黑客技术Wireshark什么是WireShark?Wireshark是一个开源抓包工具或者叫网络嗅探器,用于分析网络流量和分析数据包。其实WireShark以前......
  • 国内比较好的项目管理平台有哪些?2024年备受关注的6款
    国内比较好的6款项目管理平台包括:PingCode、Worktile、Teambition、禅道、TAPD、云效。下面我们将这几款产品进行深入的对比。项目管理平台能够通过集中化的任务分配、进度跟踪和资源管理,项目管理工具确保所有团队成员都对目标、职责和截止日期有清晰的认识。这种透明和协调的......
  • idea2024.1下载和激活
    通过百度网盘分享的文件:IDEA2024.1激活.zip链接:https://pan.baidu.com/s/1RlZk-R4alx50IXgMg7KO2w提取码:ewq7安装包和激活工具都在链接里面1、安装好idea后2、打开IDEA2024.1激活\scripts\install-current-user.vbs 会提示安装补丁需要等待数秒。点击【确定】按钮后,过程大......
  • 第四届计算机图形学、人工智能与数据处理国际学术会议 2024 4th International Conf
    @目录一、会议详情二、重要信息三、大会介绍四、出席嘉宾五、征稿主题一、会议详情二、重要信息大会官网:https://ais.cn/u/vEbMBz提交检索:EICompendex、IEEEXplore、Scopus大会时间:2024年12月13-15日大会地点:中国·南昌三、大会介绍第四届计算机图形学、人工智能与......
  • Autodesk Maya 2025.3 Multilanguage (macOS, Windows) - 三维动画和视觉特效软件
    AutodeskMaya2025.3Multilanguage(macOS,Windows)-三维动画和视觉特效软件三维计算机动画、建模、仿真和渲染软件请访问原文链接:https://sysin.org/blog/autodesk-maya/查看最新版。原创作品,转载请保留出处。作者主页:sysin.org三维计算机动画、建模、仿真和渲染软件......
  • Autodesk AutoCAD 2025.1 (macOS, Windows) - 自动计算机辅助设计软件
    AutodeskAutoCAD2025.1(macOS,Windows)-自动计算机辅助设计软件AutoCAD2024开始原生支持AppleSilicon请访问原文链接:https://sysin.org/blog/autodesk-autocad/查看最新版。原创作品,转载请保留出处。作者主页:sysin.org具有设计自动化以及工具组合、Web和移动应......
  • Adobe Creative Cloud 2025 (macOS, Windows) 下载汇总 - 创意应用程序
    AdobeCreativeCloud2025(macOS,Windows)下载汇总-创意应用程序Acrobat、AfterEffects、Animate、Audition、Bridge、CharacterAnimator、Dimension、Dreamweaver、Illustrator、InCopy、InDesign、LightroomClassic、MediaEncoder、Photoshop、PremierePro、AdobeX......
  • 【2024-10-31】考虑装修
    20:00我们现在走的是一条人迹罕至的路,但是我爱这条路。如果荆棘丛生,就披荆斩棘;如果它寂寞荒凉,我们就结伴前行。                                                 ——王......
  • T533810 [SXZOI 2024 C] 典
    [SXZOI2024C]典题目背景现在我说,这真的是典。你信吗?是吗?是吧。题目描述给定一个整数$n$。你有一个长度为$n$的序列$a_1,a_2,\dots,a_n$,值域为$[1,n]$。从$n^n$个可能的序列$a$中,等概率地随机选出一个。接下来建出一张有向图,对于每个$i$,$i\toa_i$有一条......
  • T533809 [SXZOI 2024 B] 乐
    [SXZOI2024B]乐题目背景有人看乐子,有人照镜子。赶紧做题,不然看的就是你!题目描述给定一个长度为$n$的整数序列$a_1,a_2,\dots,a_n$。定义$f(l,r)=|\sum_{i=l}^ra_i|$。现在有$q$次查询,每次给定$l,r$。询问$\max_{l\leqi\leqj\leqr}f(i,j)$。输入......