20192427 2021-2022-2 《网络与系统攻防技术》实验四
目录
一,实验内容
1,恶意代码文件类型标识、脱壳与字符串提取:
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:
(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
2,使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
3,、分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
(1)提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
(2)找出并解释这个二进制文件的目的;
(3)识别并说明这个二进制文件所具有的不同特性;
(4)识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
(5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
(6)给出过去已有的具有相似功能的其他工具;
(7)可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
4,取证分析实践
Windows 2000系统被攻破并加入僵尸网络
二,实验过程
任务一:恶意代码文件类型标识、脱壳与字符串提取
1,在kali中使用file指令查看文件类型:
file RaDa.exe
结果如下图:
该样本文件是一个有图形化界面(GUI)的Win32 PE(可移植可执行)的程序
2,使用工具对恶意代码样本的加壳类型进行分析:
在windows xp中运行PEID工具
查壳
相关属性如下:
3,使用strings命令在kali中查看RaDa.exe中的可打印字符串
命令如下:
strings RaDa.exe
结果是:全是乱码,证明该文件被加壳了。
4,使用超级巡警进行脱壳处理
并生成了一个新文件 RaDa_unpacked.exe
5,再次使用strings指令查看脱壳后的RaDa_unpacked.exe,显示结果如下:
并在脱壳后的文件中找到作者名字:
任务二 使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息
1,使用file指令查看俩个文件的文件类型
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/245375.html