1.实验内容1.1本周学习内容本周学习了恶意代码分析的基本方法，静态分析和动态分析的核心概念。静态分析主要通过代码结构和API调用等特征来识别恶意行为，动态分析则使用沙箱等环境运行代码，观察其行为。通过实验学习了IDAPro和ProcessMonitor等工具的基本操作。1.2实践内容

1.实验要求1.1实验内容一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳

一、实验内容1、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：=（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳机等脱壳软

1.实验内容一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳机等脱壳软件，

1.实验内容1.1恶意代码文件类型标识、脱壳与字符串提取1.2使用IDAPro静态或动态分析crackme1.exe与crakeme2.exe，寻找特定输入，使其能够输出成功信息。1.3分析一个自制恶意代码样本rada1.4取证分析实践2.实验过程2.1恶意代码文件类型标识、脱壳与字符串提取使用fileRaDa.ex

1.实验内容本次实验主要是通过各种工具，对目标恶意代码进行文件类型的分析，通过脱壳软件将恶意代码的upx壳脱去，并对恶意代码进行字符串分析，通过逆向技术将二进制代码转换为汇编代码进行分析。了解代码中不同函数之间的调用和流程运行图。通过流程图及相关信息去推测恶意代码的运行

网络攻防实验报告姓名：田青学号：20222305实验日期：2024/11/01—2024/11/10实验名称：恶意代码分析实践指导教师：王志强1.学习内容1.指令集合：二进制执行代码，脚本，宏，指令流。2.恶意代码命名规则：前缀+名称+后缀3.BIOS->MDR->分区引导记录->操作系统（电脑启动）4.逆向工程：程序结构C

1.实验内容一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳机等脱壳软件，

1.实验内容1.1本周所学IDApro、ProcessExplorer、peid、超级巡警等软件的学习与使用PE文件、蜜罐技术、tcpdump等专业知识的学习对于wireshark的抓包的深入分析1.2实验环境主机kali虚拟机安装winXP虚拟机实现xp与主机的ping通，参照:关闭xp虚拟机防火墙1.3实践内容

1.实验内容1.1实验要求（1）对恶意代码样本进行识别文件类型、脱壳、字符串提取操作。（2）使用IDAPro静态或动态分析所给的exe文件，找到输出成功信息的方法。（3）分析恶意代码样本并撰写报告，回答问题。（4）对于Snort收集的蜜罐主机5天的网络数据源进行分析，回答问题。1.2学习内容恶意代码

一、实验内容1.恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳机等脱壳软件，

1基本概念1.1恶意代码恶意代码（MaliciousCode）是指以技术炫耀/恶作剧,远程控制,窃取私密信息，盗用资源,拒绝服务/破坏等为目的，使计算机按照攻击者的意图运行以达到恶意目的的指令集合。类型包括计算机病毒、蠕虫、特洛伊木马、逻辑炸弹、系统后门、Rootkit、僵尸程序等。1.2

一、实验内容（一）恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳机等脱壳软件，

1.实验内容1.1恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳机等脱壳软件，对

1.实验内容一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳机等脱壳软件，

一、实验内容（一）恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳机等脱壳软件，

1.实验内容一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳机等脱壳软件

1.实验内容1.1基本概念1.1.1什么是恶意代码首先，恶意代码是一串实现特定功能的代码，而特定功能在这里特指具有恶意目的的功能实现，可以理解为按照攻击者的意愿进行运行的代码。按照特征以及行为的不同，大概分为以下几类：计算机病毒蠕虫（病毒）后门木马僵尸网络RootKit1.1.2恶

1.实验内容恶意代码文件类型标识、脱壳与字符串提取使用IDAPro静态或动态分析crackme1.exe与crakeme2.exe，寻找特定输入，使其能够输出成功信息分析一个自制恶意代码样本rada，并撰写报告，回答问题取证分析实践2.实验过程2.1恶意代码文件类型标识、脱壳与字符串提取（1）文件类型

（一）实践目标恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：o使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；o使用超级巡警脱壳机等脱壳软件，对rad

1.实验内容1.1本周学习内容学会了有关恶意代码分析的技术的基础知识，包括静态分析与动态分析。尝试运用静态分析方法去实现一些目的行为。学习了有关于信息收集的有关知识，包括相应的定义、收集方式以及实现收集的技术。1.2实验内容恶意代码文件类型标识、脱壳与

202224242024-2025-1《网络与系统攻防技术》实验四实验报告1.实验内容恶意代码文件类型标识、脱壳与字符串提取。使用IDAPro静态或动态分析，寻找特定输入，使其能够输出成功信息。分析恶意代码样本rada，并撰写报告。取证分析实践——Windows2000系统被攻破并加入僵尸网络2

1.实验内容一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳机等脱壳软件，

1.实验内容一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；（2）使用超级巡警脱壳机等脱壳软件，

1.实验内容1.12.实验过程2.1恶意代码文件类型标识、脱壳与字符串提取2.1.1使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具kali虚拟机通过file命令查看文件类型，这是微软Windows平台、英特尔80386处理器的一个32位PE文件，并且是GUI文件；脱壳