1.實踐內容

• PEiD查殼教程:PEiD可以探測大多數的PE檔案封包器、加密器和編譯器。當前可以探測 600 多個不同簽名。PEiD 是最強大的一個查殼工具。
• 超級巡警虛擬機器自動脫殼機軟體:
  • 本工具完全基於虛擬機器技術，對各種已知未知殼進行脫殼處理，適合病毒分析中對加殼的木馬樣本進行脫殼處理。
  • 由於所有程式碼均執行在虛擬機器中，不會對系統造成任何危害。
• file命令:用來探測給定檔案的型別。file命令對檔案的檢查分為檔案系統、魔法幻數檢查和語言檢查3個過程。
• CrackMe :它們都是一些公開給別人嘗試破解的小程式， CrackMe簡稱CM。 程式分為兩部分Serial/Name 和Serial
  。

2.實踐過程

一、任務：對提供的rada惡意程式碼樣本，進行檔案型別識別，脫殼與字串提取，以獲得rada惡意程式碼的編寫作者，具體操作如下：

（1）使用檔案格式和型別識別工具，給出rada惡意程式碼樣本的檔案格式、執行平臺和加殼工具；

（2）使用超級巡警脫殼機等脫殼軟體，對rada惡意程式碼樣本進行脫殼處理；

（3）使用字串提取工具，對脫殼後的rada惡意程式碼樣本進行分析，從中發現rada惡意程式碼的編寫作者是誰？

二、操作

• (1).準備工作：

  • 下載PEID: 連結——用來查殼（WInXP自帶PEID，可以直接使用）。
    
  • 下載7zip:連結——在WinXP中解壓rada。
    
  • 點選虛擬機器
    ——重新安裝Vmware Tools,用來把下載好的rada資料夾拖進WinXp。
  • 下載超級巡警虛擬機器脫殼器。
    

• (2).在kali中使用file指令檢視檔案型別：file /home/kali/Desktop/rada/RaDa.exe

  • 截圖如下：
    
  • 輸出結果表示RaDa.exe一個有圖形化介面（GUI）的Win32 PE（可移植可執行）的程式。

• (3).使用PEID工具對惡意程式碼樣本的加殼型別進行分析：在WinXP中執行PEID工具。

  • 可以看到檔案的入口點、偏移、檔案型別、EP短、彙編程式以及加殼型別：
    

• (4).在kali中使用命令檢視RaDa.exe 可列印的字串strings

  
  
  • 列印結果全是亂碼，證明檔案被加殼了。

• (5).使用脫殼工具超級巡警虛擬機器脫殼器對惡意程式進行脫殼。得到檔案unpacked.exe。
  
  

• (6).使用strings指令檢視脫殼後的RaDa_unpacked.exe：
  

  • 脫殼後的檔案中找到作者名字：
    

任務二：分析Crackme程式

• 在WinXP Attacker虛擬機器中使用IDA Pro靜態或動態分析crackme1.exe和crackme2.exe，尋找特定的輸入，使其能夠輸出成功資訊。

操作：

• (1).檢視檔案crackme1.exe和crackme2.exe的檔案型別：首先在終端進入這兩個檔案所在位置，利用命令file crackme1.exe和file crackme2.exe檢視。
  
• (2).終端測試執行上面的檔案。在WinXP環境下輸入命令

  crackme1.exe
  crackme2.exe
  crackme1.exe 0
  crackme2.exe 0
  crackme1.exe 0 1

• 輸出結果截圖如下：
  

• 它提示我們忘記了一些什麼東西，猜測後面需要跟一些引數，於是做了幾次測試，結果發現它總是提示一樣的提示語，就好像是讓我們輸入密碼總是沒輸入正確一樣。

• (3).WinXP自帶的IDA Pro開啟crackme1.exe，檢視4條明文資訊；
  

• (4).使用IDA Pro開啟crackme1檔案，開啟函式呼叫圖。
  

• (5).開啟IDA View-A，檢視函式返回彙編結果，從函式strcmp所在的程式段中找到引數"I know the secret"猜測這是破解的金鑰。
  

• (6).進行驗證，輸入密碼，驗證成功。
  

任務三：分析一個自制惡意程式碼樣本rada，並撰寫報告，回答以下問題：

• 1、提供對這個二進位制檔案的摘要，包括可以幫助識別同一樣本的基本資訊；
  • （1）在Kali終端下使用md5sum命令檢視摘要資訊。
    
  • md5摘要為caaa6985a43225a0b3add54f44a0d4c7。
  • （2）通過process explorer進行監聽，並執行RaDa.exe。
    
  • （3）process explorer來檢視該二進位制檔案在記憶體中的字串。
    
  • （4）根據上述結果分析：
  • 通過HTTP協議請求10.10.10.10\RaDa\RaDa_commands.html。
    
  • 下載並更新cgi-bin，修改登錄檔自啟動項。
    
  • 將檔案 RaDa.exe 複製到了 C:\RaDa\bin 目錄下
    
  • 讀寫和刪除操作
    
• 2、找出並解釋這個二進位制檔案的目的；
  • 該二進位制檔案的目的是建立連線10.10.10.10的後門，這樣使用者開啟web後就會令攻擊者獲得控制權。
• 3、識別並說明這個二進位制檔案所具有的不同特性；
  • 自我複製到C盤下,可以修改登錄檔自啟動項。
• 4、識別並解釋這個二進位制檔案中所採用的防止被分析或逆向工程的技術；
  • 加殼工具
• 5、對這個惡意程式碼樣本進行分類（病毒、蠕蟲等），並給出你的理由；
  • 可以遠端發起攻擊，但並不能自主進行傳播和感染，並且建立連線10.10.10.10的後門由此推斷，是一個後門程式
• 6、給出過去已有的具有相似功能的其他工具；
  • 木馬Bobax（使用HTTP協議從指定的伺服器下載命令檔案）、木馬Setiri。
• 7、可能調查處這個二進位制檔案的開發作者嗎？如果可以，在什麼樣的環境和什麼樣的限定條件下？
  • 可以找出，作者是Raul siles和David Perze。
    

任務四：Windows 2000系統被攻破並加入殭屍網路

• 任務：分析的資料來源是用Snort工具收集的蜜罐主機5天的網路資料來源，並通過編輯去除了一些不相關的流量並將其組合到了單獨的一個二進位制網路日誌檔案中，同時IP地址和其他特定敏感資訊都已經被混淆以隱藏蜜罐主機的實際身份和位置。回答下列問題：
• 1、IRC是什麼？當IRC客戶端申請加入一個IRC網路時將傳送那個訊息？IRC一般使用那些TCP埠？
  • IRC(Internet Relay Chat)，即因特網中繼聊天。 使用者用自己的PC執行客戶端軟體，然後通過因特網以IRC協議連線到一臺IRC伺服器即可聊天。
  • 當IRC客戶端申加入一個IRC網路時將傳送JOIN資訊來加入頻道
  • IRC伺服器通常在6667埠監聽，也會使用6660—6669埠
• 2、殭屍網路是什麼？殭屍網路通常用於什麼？
  • 殭屍網路Botnet是指採用一種或多種傳播手段，將大量主機感染bot程式（殭屍程式）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網路
  • 殭屍網路通常被用於發起大規模的網路攻擊，如分散式拒絕服務攻擊(DDoS)、海量垃圾郵件等
• 3、蜜罐主機（IP地址：172.16.134.191）與那些IRC伺服器進行了通訊？
  • Wireshark開啟資料檔案，因為IRC通過6667埠，可設定過濾條件ip.src == 172.16.134.191 && tcp.dstport == 6667。
    
  • 可以找到五個IRC伺服器209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10、209.196.44.172
• 4、在這段觀察期間，多少不同的主機訪問了以209.196.44.172為伺服器的殭屍網路？
  • （1）kali安裝tcpflowr:依次輸入命令sudo apt install tcpflow、sudo apt install tcpflow-nox。
    
  • （2）篩選指定host與埠：輸入命令tcpflow -r botnet_pcap_file.dat 'host 209.196.44.172 and port 6667'。
    
  • 產生的3個檔案是209.196.044.172.06667-172.016.134.191.01152、172.016.134.191.01152-209.196.044.172.06667、report.xml。
    
  • （3）輸入如下指令進行搜尋有多少主機連線：
    cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ://g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l
    
  • 有3461臺主機訪問了以209.196.44.172為伺服器的殭屍網路。
• 5、那些IP地址被用於攻擊蜜罐主機？
  • 輸入指令tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 20192403.txt;wc -l 20192403.txt將攻擊蜜罐主機的ip篩選出輸出至20192403.txt檔案中。
    
  • 結果顯示有165個IP地址用於攻擊蜜罐主機。
• 6、攻擊者嘗試攻擊了那些安全漏洞？
  • （1）將埠分為TCP埠和UDP埠兩部分，分別檢視它們受攻擊的情況。
  • （2）輸入tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191 and tcp[tcpflags]== 0x12' | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq篩選響應的tcp埠
    
  • 得到的TCP埠有:135(rpc)、139(netbios-ssn)、25(smtp)、445(smb)、 4899(radmin)、 80(http)。
  • （3）輸入tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq篩選響應的udp埠。
    
  • 結果顯示udp 137埠，此埠在區域網中提供計算機的IP地址查詢服務，處於自動開放狀態，可用於NetBIOS查點。
• 7、那些攻擊成功了？是如何成功的？
  • 得到埠後，利用wireshark檢視TCP埠
  • 埠135：過濾條件tcp.dstport==135 && ip.dst==172.16.134.191——發現只進行了TCP連線。
    
  • 埠139：過濾條件tcp.dstport==139 && ip.dst==172.16.134.191——發現有NBSS包和SMB包以及TCP包。
    
  • 埠25：過濾條件tcp.dstport==25 && ip.dst==172.16.134.191——發現只進行TCP連線。
    
  • 埠445：過濾條件tcp.dstport==445 && ip.dst==172.16.134.191——發現有61.111.101.78向蜜罐主機發送PSEXESVC.EXE，當客戶端執行該可執行檔案後，攻擊方就可以遠端控制執行檔案的主機，然後獲取許可權。
    
  • 埠80：過濾條件tcp.dstport==80 && ip.dst==172.16.134.191——發現c:\notworm，發現這是一個紅色程式碼蠕蟲攻擊。
    
  • 根據以上分析可以知道析可知218.25.147.83發起的攻擊是成功的，它通過蠕蟲病毒實現。

3.學習中遇到的問題及解決

• 問題1：本次實驗過程中，需要用到很多軟體，有很多在WinXp中自帶，並不需要下載，在前期過程中，下載軟體，浪費了一些時間。
• 問題2：一些軟體的操作不太熟練，只能進行最簡單的基本操作。
• 問題2解決方案：通過查閱資料，諮詢，獲取操作技能。

4.實踐總結

• 通過本次實驗，學習到了監控軟體、脫殼工具等的使用。
• 通過各種工具，嘗試著對惡意程式碼進行分析，我們可以得到惡意程式碼的各種各樣的資訊。
• 由於對於組合語言不夠熟悉，在crackme檔案的分析時，需要反覆搜尋組合語言的用法，。總的來說，本次實驗讓我學到了很多。

參考資料

• PEiD查殼教程
• 超級巡警虛擬機器自動脫殼機
• file命令
• 逆向破解之160個CrackMe