一、實驗內容

一、惡意程式碼檔案型別標識、脫殼與字串提取

對提供的rada惡意程式碼樣本，進行檔案型別識別，脫殼與字串提取，以獲得rada惡意程式碼的編寫作者，具體操作如下：

（1）使用檔案格式和型別識別工具，給出rada惡意程式碼樣本的檔案格式、執行平臺和加殼工具；

（2）使用超級巡警脫殼機等脫殼軟體，對rada惡意程式碼樣本進行脫殼處理；

（3）使用字串提取工具，對脫殼後的rada惡意程式碼樣本進行分析，從中發現rada惡意程式碼的編寫作者是誰？

二、使用IDA Pro靜態或動態分析crackme1.exe與crakeme2.exe，尋找特定輸入，使其能夠輸出成功資訊。

三、分析一個自制惡意程式碼樣本rada，並撰寫報告，回答以下問題：

（1）提供對這個二進位制檔案的摘要，包括可以幫助識別同一樣本的基本資訊；

（2）找出並解釋這個二進位制檔案的目的；

（3）識別並說明這個二進位制檔案所具有的不同特性；

（4）識別並解釋這個二進位制檔案中所採用的防止被分析或逆向工程的技術；

（5）對這個惡意程式碼樣本進行分類（病毒、蠕蟲等），並給出你的理由；

（6）給出過去已有的具有相似功能的其他工具；

（7）可能調查處這個二進位制檔案的開發作者嗎？如果可以，在什麼樣的環境和什麼樣的限定條件下？

四、取證分析實踐

Windows 2000系統被攻破並加入殭屍網路

問題： 資料來源是Snort收集的蜜罐主機5天的網路資料來源，並去除了一些不相關的流量，同時IP地址和其他敏感資訊被混淆。回答下列問題：

（1）IRC是什麼？當IRC客戶端申請加入一個IRC網路時將傳送那個訊息？IRC一般使用那些TCP埠？

（2）殭屍網路是什麼？殭屍網路通常用於什麼？

（3）蜜罐主機（IP地址：172.16.134.191）與那些IRC伺服器進行了通訊？

（4）在這段觀察期間，多少不同的主機訪問了以209.196.44.172為伺服器的殭屍網路？

（5）哪些IP地址被用於攻擊蜜罐主機？

（6）攻擊者嘗試攻擊了那些安全漏洞？

（7）那些攻擊成功了？是如何成功的？

二、實驗過程