202111911 2021-2022-2 《网络攻防实践》实践八报告
作者:互联网
1.实践内容
2.实践过程
动手实践任务一
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:
(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
1.使用Windows xp attack虚拟机,使用指令file RaDa.exe查看文件类型,可以得知这是一个带图形化窗口的32位PE文件
2.使用PEiD工具(从网页上下载的v0.95版本)来查壳的类型,可以看到PEiD显示的是一个版本为0.89.6的UPX壳
3.接着用指令strings RaDa.exe,可以发现显示的是乱码,所以我们需要进行一个脱壳的操作
4.接下来完成脱壳操作,使用Windowsxp自带的超级巡警之虚拟机自动脱壳器v1.3软件进行脱壳。
这里也识别出了是一个版本为0.89.6的UPX壳,脱完之后输出为RaDa_unpacked.exe
5.打开IDA Pro Free选择脱壳之后的文件RaDa_unpacked.exe,可以得到作者的信息DataRescue sa/nv和邮箱。
动手实践任务二:分析Crackme程序
任务:在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe,寻找特定的输入,使其能够输出成功信息。
1.首先分析crackme1.exe,在cmd下执行crackme1.exe,发现有不同的响应
2.使用IDA Pro打开crackme1.exe,在string窗口中可以看到有两张反馈是上面我们得到的
3.接下来在view中打开Function Call,可以看到sub_401280函数下的输出,所以重点关注该函数
4.还是在view中打开flow chart,可以找到sub_401280函数,放大后看汇编代码
5.可以看到cmp指令是比较,jmp指令是跳转,如果是FALSE则返回“I THINK U ARE MISSING SOMETHING”,如果是TRUE则接着判断
6.接着是strcmp指令与字符串"I KNOW THE SECRET"相比较,jz跳转。
如果是FALSE就返回"Pardon? What did you say?"如果正确则返回"You know how to speak to programs, Mr.。。。"
7.所以直接输入字符串"I KNOW THE SECRET"即可
8.然后分析crackme2.exe,直接尝试上一个输入,发现不得行
9.同样使用IDA Pro打开crackme2.exe,在string窗口中可以看到有反馈是上面我们得到的
10.接下来还是在view中打开Function Call,可以看到sub_401280函数下的输出,所以还是重点关注该函数
11.还是在view中打开flow chart,可以找到sub_401280函数,放大后看汇编代码
12.可以看到cmp指令是比较,jz指令是跳转,如果是FALSE则返回“I THINK U ARE MISSING SOMETHING”,如果是TRUE则接着判断
13.接着是strcmp指令与程序名相比较,jz指令跳转。
如果是FALSE就返回"I HAVE AN IDENTITY PROBLEM"如果正确则返回"You know how to speak to programs, Mr.。。。"
标签:脱壳,exe,rada,恶意代码,实践,指令,2021,2022,跳转 来源: https://www.cnblogs.com/bdk-zxc/p/16216894.html