首页 > 其他分享 >20222418 2024-2025-1 《网络与系统攻防技术》实验四实验报告

20222418 2024-2025-1 《网络与系统攻防技术》实验四实验报告

时间:2024-11-10 15:45:50浏览次数:4  
标签:文件 exe 恶意代码 端口 2024 2025 主机 20222418 IRC

1.实验内容

一、恶意代码文件类型标识、脱壳与字符串提取

对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:

(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;

(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;

(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?

二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。

三、分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:

(1)提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;

(2)找出并解释这个二进制文件的目的;

(3)识别并说明这个二进制文件所具有的不同特性;

(4)识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;

(5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;

(6)给出过去已有的具有相似功能的其他工具;

(7)可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?

(8)给出至少5种检测该恶意软件的方法,例如基于特征码的方法,需要详细介绍每种方法。

四、取证分析实践

Windows 2000系统被攻破并加入僵尸网络

问题回答:

数据源是Snort收集的蜜罐主机5天的网络数据源,并去除了一些不相关的流量,同时IP地址和其他敏感信息被混淆。回答下列问题:

(1)IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?

(2)僵尸网络是什么?僵尸网络通常用于什么?

(3)蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?

(4)在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?

(5)哪些IP地址被用于攻击蜜罐主机?

(6)攻击者尝试攻击了那些安全漏洞?

(7)那些攻击成功了?是如何成功的?

2.实验过程

一、恶意代码文件类型标识、脱壳与字符串提取

对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:

(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;

file命令是Linux系统中可用于检查文件类型的常用命令。它通过读取文件的内容或元数据来判断文件的类型,比如文本文件、二进制文件、可执行文件等。

那就先用file RaDa.exe命令来检查一下文件类型:

检测后得到了输出信息为:“RaDa.exe: PE32 executable (GUI) Intel 80386, for MS Windows, 3 sections”。

这说明RaDa.exe是一个32位的PE文件(PE32),具有图形用户界面(GUI)可以在Intel 80386处理器或兼容的处理器上运行(Intel 80386),是针对Microsoft Windows操作系统设计的(for MS Windows),并且被分为了三个节(3 section)。

PE文件是一种Windows操作系统下可执行文件的格式,全称为Portable Executable。PE文件是一种用于存储程序代码、数据和资源的文件格式,它是Windows操作系统中常见的可执行文件格式之一。
PE文件包含了程序的代码段、数据段、资源和其他元数据,如导入表、导出表、重定位表等。它还包含了程序运行所需的头部信息,用于告诉操作系统如何加载和执行这个程序。
PE文件格式具有一定的结构,通常包括DOS头部、PE头部、节表等部分。DOS头部用于兼容DOS系统,在Windows系统中并不直接使用。PE头部包含了PE文件的基本信息,如文件类型、节表偏移等。节表则描述了文件中各个节的信息,如代码段、数据段等。

接下来我们用PEiD来侦测一下这位RaDa.exe选手:

PEiD(PE Identifier)是一款文件格式和类型识别工具,主要用于检测PE(Portable Executable)格式的文件是否被加壳或者含有其他反调试、反静态分析的技术。

从图中可以看到文件的入口点,文件偏移,PE段,以及它用了0. 89. 6的UPX压缩壳。

(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;

脱壳前我先用了strings RADA.exe命令对文件进行分析。

strings 命令是 Linux 中的一个实用工具,用于从二进制文件中提取可打印的字符串。它通常用于分析可执行文件、库文件或其他类型的二进制数据,以查找嵌入其中的文本信息。这些文本信息可能是程序中的调试信息、字符串常量、错误消息等。

可以看到去壳前出来的是一堆乱码。

用脱壳软件进行处理:

(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?

脱壳后我再用strings命令提取字符串,发现了能看懂的相关信息,其中能发现编写作者:

二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。

(1)分析crackme1.exe

首先先运行一下这个文件,看有什么反馈。

可以看到改变输入后有Pardon……?和……missing sth.两种提示语,都代表着输入不正确。

于是我打算用IDA查看它。同样用file命令查看文件类型,在打开时选择对应文件类型(PE):

打开后,我点进了主函数,得到以下几个调用图,主体部分是两个判断语句。看第一个条件判断可知如果参数个数不为2,就会输出“…… missing something.”。

之前出现过的两种报错信息都返回了loc_401327,重新开始循环。

然而还有一种情况,“You know how to……”似乎是正确输入后的结果。而在loc_401202中能看到进入这里的条件是输入的第二条指令与“I know the secret”进行比较,结果一边指向Pardon? ,一边指向“You know”。

这下我们知道了应该怎样正确运行它,果然成功了。

(2)分析crackme2:

同样先运行文件感受一下:

用IDA打开后,得到以下调用图。同样的,当参数个数不为2,就会输出“…… missing something.”。

按照之前的思路来分析,我发现当第一个参数不是“crackmeplease.exe”时,输出“I have an identity problem.”,第二个参数如果不是“I know the secret”,则会输出“Pardon? ”。只有当第一个第二个参数都正确输入时,才输出成功信息。

第一个参数一般是文件名,我把文件改成指定信息,再尝试就成功得到了巧克力

标签:文件,exe,恶意代码,端口,2024,2025,主机,20222418,IRC
From: https://www.cnblogs.com/20222418fcca/p/18519748

相关文章

  • 20222302 2024-2025-1 《网络与系统攻防技术》实验四实验报告
    1.实验内容1.1恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;(2)使用超级巡警脱壳机等脱壳软件,对......
  • 2024-2025-1 20241415 《计算机基础与程序设计》第七周学习总结
    2024-2025-120241415《计算机基础与程序设计》第七周学习总结作业信息这个作业属于哪个课程2024-2025-1-计算机基础与程序设计这个作业要求在哪里2024-2025-1计算机基础与程序设计第七周作业这个作业的目标数组与链表、基于数组和基于链表实现数据结构、无序表......
  • 2024-2025-1 20241314 《计算机基础与程序设计》第七周学习总结
    2024-2025-120241314《计算机基础与程序设计》第七周学习总结作业信息这个作业属于哪个课程<班级的链接>2024-2025-1-计算机基础与程序设计这个作业要求在哪里2024-2025-1计算机基础与程序设计第七周作业这个作业的目标数组与链表基于数组和基于链表实现数据......
  • 还在搞传统爬虫吗?2025年用人工智能轻松抓取几乎所有网站
    今天,我将介绍一种简单的方法,帮助大家从各种网站上收集数据,搭建一个能够像人在浏览器中操作的网页爬虫。这种爬虫甚至可以在Upwork等平台上独立完成一些网页抓取的自由职业任务。自2024年以来,随着AI的发展,网页抓取发生了巨大的变化。以前,大公司如亚马逊或沃尔玛为了保持价......
  • 音乐创作人工具:capella-software 2024
    capellaFormymusicWriteyourscoresmoreeffectivelyusingautomaticobjectplacement,multipleselectionandrehearsalfunctions.capellareaderDisplay,playbackandprintscoresforfreeRevolutionizesyourrehearsals-everybodyiswellprep......
  • 2024 AH CSP-S 迷惑行为大赏
    洛谷专栏阅读:https://www.luogu.com.cn/article/0atx674s一、概述观前提示:本届CSP-S安徽省整活相较于其他省份不是那么“群英荟萃”,观看前请不要小零食(?)本届CSP-S安徽共有1013人参赛,其中有效准考证号源文件夹共有1006个,7人因为种种原因最终没有留下任何参赛痕迹,让我们为他们致哀......
  • 20241110
    T1前缀后缀首先\(q\)的数据范围是在搞笑,因为最多\(n\)次操作之后序列就没了。然后可以考虑\(f_{l,r}\)表示还剩\([l,r]\)时最多执行到了哪个操作。转移考虑下一个操作在左边做还是在右边做即可。可以对每个询问预处理出每个点左右第一个能接这个询问的点。时间复杂度......
  • 【AE2024】专业视频后期制作软件下载安装(附百度云链接)
    目录AdobeAfterEffects软件简介1.软件功能介绍1.1动画与合成1.2视觉效果1.3动态图形与模板2.系统要求2.1操作系统2.2硬件要求2.3显示与分辨率3.使用场景3.1影视后期制作3.2广告与宣传片3.3动画与艺术创作AdobeAfterEffects软件简介AdobeAf......
  • 【PS2024】Adobe Photoshop 软件下载与快捷键的使用
    目录一、功能介绍1.1图像编辑与修复下载链接:1.2图形与文字设计1.3高级图像处理二、系统要求2.1硬件要求2.2操作系统三、快捷键使用3.1文件操作3.2编辑操作3.3视图与画布操作3.4图层操作3.5选择工具一、功能介绍1.1图像编辑与修复图像调整:Photosh......
  • AIGC时代算法工程师的面试秘籍(第二十五式2024.10.21-11.3) |【三年面试五年模拟】
    写在前面【三年面试五年模拟】旨在整理&挖掘AI算法工程师在实习/校招/社招时所需的干货知识点与面试经验,力求让读者在获得心仪offer的同时,增强技术基本面。欢迎大家关注Rocky的公众号:WeThinkIn欢迎大家关注Rocky的知乎:RockyDingAIGC算法工程师面试面经秘籍分享:WeThi......