首页 > 其他分享 >20222407 2024-2025-1 《网络与系统攻防技术》实验四实验报告

20222407 2024-2025-1 《网络与系统攻防技术》实验四实验报告

时间:2024-11-02 17:21:19浏览次数:1  
标签:exe rada RaDa 恶意代码 2024 2025 主机 20222407 IRC

(一)实践目标
恶意代码文件类型标识、脱壳与字符串提取

对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:
o使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
o使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
o使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
o提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
o找出并解释这个二进制文件的目的;
o识别并说明这个二进制文件所具有的不同特性;
o识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
o对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
o给出过去已有的具有相似功能的其他工具;
o可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
取证分析实践

Windows 2000系统被攻破并加入僵尸网络

问题: 数据源是Snort收集的蜜罐主机5天的网络数据源,并去除了一些不相关的流量,同时IP地址和其他敏感信息被混淆。回答下列问题:
oIRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
o僵尸网络是什么?僵尸网络通常用于什么?
o蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
o在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
o哪些IP地址被用于攻击蜜罐主机?
o攻击者尝试攻击了那些安全漏洞?
o那些攻击成功了?是如何成功的?
实验过程
实验1-1 使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
实验器材
win11主机
powershell
file指令包
strings指令包
恶意代码 RaDa.exe
peiD
windows xp 虚拟机
二、实验过程
(一)恶意代码文件类型标识、脱壳与字符串提取
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:

1:使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具
1.1使用 file 命令查看RaDa.exe的文件类型

RaDa.exe是一个Windows PE可执行文件,并且具有GUI(图形化界面)
1.2使用peid工具查看RaDa.exe的基本信息

可以看到该文件的入口点、文件偏移、EP段等类型
1.3使用strings命令查看RaDa.exe的可打印字符串

此时看见的基本都是乱码,这是因为该文件被upx加壳的缘故,正常字符无法显示
2:使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理
2.1对RaDa.exe进行脱壳

3:使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
3.1再用strings命令查看脱壳后的RaDa.exe(RaDa_unpacked.exe)

时就能看见正常的字符信息了。通过查找发现该恶意代码的作者为:Raul Siles和David Perez

(二)使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息
1:使用file命令查看crackme的文件类型

Linux环境下自带file命令,
Windows 版本可以去 http://gnuwin32.sourceforge.net/packages/file.htm 下载

如图可知,这两个文件都是Windows PE可执行文件,但没有GUI,是命令行程序。
2:对crackme1.exe进行破解
尝试运行该程序,试探其输入格式

此时发现运行exe文件时,后面带一个参数的情况与其它几种情况不同,可能输入格式就是这种。
使用IDA pro工具打开该文件,尝试阅读分析:
新建一个PE Executable




根据第二个参数匹配,进行相应的分支。可以看出当用户输入“I know the secret”的时候,程序口令输入正确,不为“I know the secret”则显示“Pardon? What did you say?”,其余情况则显示“I think you are missing something.”。

三)分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
1:提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息
在线版:文件HASH计算(可以在线计算文件的hash值)

2:找出并解释这个二进制文件的目的
点击运行RaDa_unpacked.exe(它会出现弹窗,不要叉掉或者点击确定),再打开Process Explorer(主机或虚拟机都可以),找到运行的RaDa_unpacked.exe:

点击图片左侧的Strings页面查看文件的目的:

可以看出:运行该文件,会向http://10.10.10.10/RaDa发送请求,连接RaDa_commands.html进行上传或下载,放入文件C:\RaDa\tmp
运行RaDa.exe时,会自动复制该程序到C:\RaDa\bin中

Starting DDoSSmurf remote attack…说明还有分布式拒绝服务攻击
同时也会对注册表进行更改(读写和删除操作),相应的注册表(打开注册表编辑器)


控制电脑进行命令操作:get(下载),put(上传),screenshot(屏幕截屏),sleep(休眠)

3:识别并说明这个二进制文件所具有的不同特性
该文件运行会对注册表进行读写和删除操作
该文件能控制主机进行get、put、screenshot、sleep命令
该文件运行时会进行复制
4:识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术
使用了upx加壳来防止被分析。再没脱壳前,strings下看到的都是乱码,但脱壳后就能正常识别了。

5:对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由
带文件应该是一种后门。原因:1:它不会自主传播、复制 。2:它没有进行伪装来获取权限

6:给出过去已有的具有相似功能的其他工具
实验二的后门程序获取主机或虚拟机的shell,获取目标主机音频、摄像头、击键记录等内容。

7:可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
ProcessExplorer
运行RaDa_unpacked.exe,打开ProcessExplorer,找到运行中的该文件双击,再点击strings页面:

四)取证分析实践
Windows 2000系统被攻破并加入僵尸网络
问题: 数据源是Snort收集的蜜罐主机5天的网络数据源,并去除了一些不相关的流量,同时IP地址和其他敏感信息被混淆。回答下列问题:

1:IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
IRC:IRC是英文Internet Relay Chat的缩写,中文意为“互联网中继聊天”。它是一种基于互联网的即时通讯协议,通过客户端软件连接到服务器上,用户可以在不同的聊天室中进行实时交流。与其他即时通讯工具相比,IRC具有开放性、稳定性和安全性等优势。
通常,IRC客户端在申请加入网络时,会发送一系列的消息与服务器进行握手和认证。而IRC使用的TCP端口通常是6667,但也可能因服务器配置的不同而有所变化。

2:僵尸网络是什么?僵尸网络通常用于什么?
僵尸网络(Botnet)是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序)病毒,从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。这个名称是为了形象地描述这类危害的特点:众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着,成为被人利用的一种工具。

僵尸网络通常由黑客、犯罪分子或恶意软件作者创建和维护,它们可以用于各种恶意活动,包括:
(1)分布式拒绝服务攻击(DDoS攻击):僵尸网络可以同时操控大量受感染的计算机,以协同发动大规模的DDoS攻击,将目标网络或网站淹没在大量的流量中,导致服务不可用。
(2)垃圾邮件传播:用于发送大量垃圾邮件,这些邮件可能包含恶意软件、钓鱼链接或其他诈骗活动。
(3)数据盗窃:攻击者可以使用僵尸网络来窃取敏感数据,如个人身份信息、银行账户信息或商业机密。
(4)恶意软件分发:传播恶意软件,包括勒索软件、间谍软件和其他恶意代码。
(5)恶意挖矿:攻击者可以使用僵尸网络来挖掘加密货币,以获取非法收益。
为了组成僵尸网络,攻击者通常利用漏洞、恶意附件、恶意链接或社交工程攻击来感染大量计算机。一旦计算机感染,它们会与僵尸主机建立连接,等待命令执行恶意任务。

3:蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
将下载好的botnet_pcap_file.dat文件拖入打开的wireshark:
发现蜜罐主机与5台IRC服务器进行了通信,分别为:
209.126.161.29
66.33.65.58
63.241.174.144
217.199.175.10
209.196.44.172

4:在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
输入:
udo apt-get install tcpflow//下载tcpflow tcpflow -r botnet_pcap_file.dat 'host 209.196.44.172'


cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x

标签:exe,rada,RaDa,恶意代码,2024,2025,主机,20222407,IRC
From: https://www.cnblogs.com/Margarita0/p/18522233

相关文章

  • 公司用什么软件来监控电脑?2024年4款公司内部电脑监控软件精选推荐
    公司内部电脑的安全与效率管理成为企业不可忽视的重要任务。电脑监控软件作为一种有效的管理工具,能够帮助企业实时监控员工电脑使用情况,提升工作效率,并保障数据安全。以下是2024年四款值得推荐的公司内部电脑监控软件,它们各具特色,能够满足不同企业的需求。1.安企神安......
  • 电脑监控软件|2024年办公电脑监控必备:7款好物推荐
    如何高效地管理办公电脑,确保员工的工作效率与数据安全,已成为企业面临的重要课题。电脑监控软件作为一种有效的管理工具,能够帮助企业实时监控员工电脑使用情况,优化工作流程,并保障信息安全。以下是2024年七款必备的办公电脑监控软件,它们各具特色,能够满足不同企业的需求。......
  • PyCharm 2024.1 解锁版 (Python集成开发IDE)详细安装步骤
    分享文件:PyCharm2024.1解锁版(Python集成开发IDE)链接:https://pan.xunlei.com/s/VOAa_CiVVvZnyQgLfpmCIOABA1提取码:cx4h安装步骤1、下载解压后点击如下进行安装2、选择安装路径3、默认勾选将PyCharm创建桌面快捷方式4、默认,点击【安装】5、安装中,耐心等待2-5分......
  • 20241030每日一题洛谷P1147
    普及-每日一题洛谷P1147题目描述对一个给定的正整数\(M\),求出所有的连续的正整数段(每一段至少有两个数),这些连续的自然数段中的全部数之和为\(M\)。例子:\(1998+1999+2000+2001+2002=10000\),所以从\(1998\)到\(2002\)的一个自然数段为\(M=10000\)的一个解。输入格式......
  • 多校A层冲刺NOIP2024模拟赛17
    多校A层冲刺NOIP2024模拟赛17T1、网格首先看上去很麻烦,但是最终所有的式子都可以写成几个数的积相加的形式,那么我们只要处理数(拼接起来)、数的积以及积的和。那么我们维护三个变量,第一个是$x$,表示最后一个积前面所有的数和,第二个是$y$,表示目前的积,第三个是z,表......
  • 2025年最新政策解读 国自然基金项目撰写技巧!
    目录专题一、国自然项目介绍专题二、基金的撰写技巧(从申请人的角度)专题三、基金的专项技巧(从评审专家的角度)专题四、ChatGPT在基金撰写中的妙用随着社会经济发展和科技进步,基金项目对创新性的要求越来越高。申请人需要提出独特且有前瞻性的研究问题,具备突破性的科学思路......
  • AutoDWG DWGViewX 2024
    AutoDWGDWGViewX,比以往更快!DWGViewX是一款ActiveX控件,它可在一个查看器中查看您的DWG、DXF和DWF图纸。它非常简单,您只需一个查看器即可管理所有CAD图纸。DWGViewX在线演示主要特点:查看从R2.5到2025版本的DWG、DXF和DWF。支持相对路径:加载本地磁盘或网......
  • H7-TOOL的LUA小程序教程第17期:扩展驱动AD7606, ADS1256,MCP3421, 8路继电器和5路DS18B2
    LUA脚本的好处是用户可以根据自己注册的一批API(当前TOOL已经提供了几百个函数供大家使用),实现各种小程序,不再限制Flash里面已经下载的程序,就跟手机安装APP差不多,所以在H7-TOOL里面被广泛使用,支持在线调试运行,支持离线运行。TOOL的LUA教程争取做到大家可以无痛调用各种功能函数,不需......
  • 20222416 2024-2025-1 《网络与系统攻防技术》实验四实验报告
    1.实验内容1.1本周学习内容恶意代码是使计算机按照攻击者的意图运行以达到恶意目的的指令集合。类型有计算机病毒,蠕虫,恶意移动代码,后门,特洛伊木马,僵尸程序,Rootkit(内核套件),融合型恶意代码等。分析恶意代码的方式通常有系统监控、静态分析和动态分析等方法。这里展示......
  • 学期(2024-2025-1) 学号(20241420) 《计算机基础与程序设计》第六周学习总结
    学期(2024-2025-1)学号(20241420)《计算机基础与程序设计》第六周学习总结作业信息这个作业属于哪个课程<班级链接>(如[https://edu.cnblogs.com/campus/besti/2024-2025-1-CFAP))这个作业要求在哪里<作业要求链接>(https://www.cnblogs.com/rocedu/p/9577842.html#WEEK06......