1.实验内容
1.1
2.实验过程
2.1 恶意代码文件类型标识、脱壳与字符串提取
2.1.1 使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具
kali虚拟机通过file 命令查看文件类型,这是微软 Windows平台、英特尔80386处理器的一个32位PE文件,并且是GUI文件;脱壳前有很多乱码
用PEID查看,发现用了UPX的压缩壳
2.1.2 使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理
2.1.3 使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者和编写时间
2.2 使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息
ida打开crackme1.exe
推测特定输入为I know the secret
在Linux终端测试,发现无法执行,报错指出系统无法找到适合解释或执行这个文件的解释器
解决方法:我先输入命令sudo apt-get install wine
安装Wine,然后再用命令 wine crackme1.exe "I know the secret
来运行它,最后运行成功。
ida打开crackme2.exe
推测特定输入为I know the secret
在Linux终端测试,发现提示有一个身份的问题。
经过考虑,我们发现在powershell输入的第一个参数为./crackmeplease.exe,而不是
crackmeplease.exe。但是在powershell直接输入crackmeplease.exe不会执行,会报错。
去CMD中运行代码,先将crackme2.exe复制为crackmeplease.exe,再输入crackmeplease.exe “I know the secret”
2.3 分析一个自制恶意代码样本rada
用MD5生成RaDa.exe的摘要信息
执行RaDa.exe,发现它将文件RaDa.exe 复制到了 C:\RaDa\bin 目录下
使用process explorer,查看rada程序的执行信息
- 二进制文件的摘要及其他信息:caaa6985a43225a0b3add54f44a0d4c7,是Windows平台下32位的可执行文件,使用upx加壳
- 二进制文件的目的:生成文件,反弹连接到10.10.10.10,方便攻击者进行后续攻击
- 不同特性:自行复制到指定文件夹,修改注册表实现自启动
- 采用的防止被分析或逆向工程的技术:UPX
- 对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由:
该程序并没有自主传播,也没有伪装成正常程序,因此它是病毒和蠕虫也不是木马,而是一个后门程序,绕过了安全性控制而获取对系统的访问权限 - 给出过去已有的具有相似功能的其他工具:2013年Sercomm在一些采用其硬件的DSL网关被发现有后门后采取的做法。 这个后门被发现是厂商自己加进去的,利用32764端口进行远程访问
- 可能调查出这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
Raul siles和David Perze,2004。先脱壳,通过ida pro查看。 - 给出至少5种检测该恶意软件的方法,例如基于特征码的方法,需要详细介绍每种方法。