20192427李睿智 2021-2022-2 《網路與系統攻防技術》實驗四
阿新 • • 發佈:2022-04-17
20192427 2021-2022-2 《網路與系統攻防技術》實驗四
目錄一,實驗內容
1,惡意程式碼檔案型別標識、脫殼與字串提取:
對提供的rada惡意程式碼樣本,進行檔案型別識別,脫殼與字串提取,以獲得rada惡意程式碼的編寫作者,具體操作如下:
(1)使用檔案格式和型別識別工具,給出rada惡意程式碼樣本的檔案格式、執行平臺和加殼工具;
(2)使用超級巡警脫殼機等脫殼軟體,對rada惡意程式碼樣本進行脫殼處理;
(3)使用字串提取工具,對脫殼後的rada惡意程式碼樣本進行分析,從中發現rada惡意程式碼的編寫作者是誰?
2,使用IDA Pro靜態或動態分析crackme1.exe與crakeme2.exe,尋找特定輸入,使其能夠輸出成功資訊。
3,、分析一個自制惡意程式碼樣本rada,並撰寫報告,回答以下問題:
(1)提供對這個二進位制檔案的摘要,包括可以幫助識別同一樣本的基本資訊;
(2)找出並解釋這個二進位制檔案的目的;
(3)識別並說明這個二進位制檔案所具有的不同特性;
(4)識別並解釋這個二進位制檔案中所採用的防止被分析或逆向工程的技術;
(5)對這個惡意程式碼樣本進行分類(病毒、蠕蟲等),並給出你的理由;
(6)給出過去已有的具有相似功能的其他工具;
(7)可能調查處這個二進位制檔案的開發作者嗎?如果可以,在什麼樣的環境和什麼樣的限定條件下?
4,取證分析實踐
Windows 2000系統被攻破並加入殭屍網路
二,實驗過程
任務一:惡意程式碼檔案型別標識、脫殼與字串提取
1,在kali中使用file指令檢視檔案型別:
file RaDa.exe
結果如下圖:
該樣本檔案是一個有圖形化介面(GUI)的Win32 PE(可移植可執行)的程式
2,使用工具對惡意程式碼樣本的加殼型別進行分析:
在windows xp中執行PEID工具
查殼
相關屬性如下:
3,使用strings命令在kali中檢視RaDa.exe中的可列印字串
命令如下:
strings RaDa.exe
結果是:全是亂碼,證明該檔案被加殼了。
4,使用超級巡警進行脫殼處理
並生成了一個新檔案 RaDa_unpacked.exe
5,再次使用strings指令檢視脫殼後的RaDa_unpacked.exe,顯示結果如下:
並在脫殼後的檔案中找到作者名字:
任務二 使用IDA Pro靜態或動態分析crackme1.exe與crakeme2.exe,尋找特定輸入,使其能夠輸出成功資訊
1,使用file指令檢視倆個檔案的檔案型別