其他分享
首页 > 其他分享> > 202111911 2021-2022-2 《网络攻防实践》实践八报告

202111911 2021-2022-2 《网络攻防实践》实践八报告

作者:互联网

1.实践内容

2.实践过程

动手实践任务一

对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:

(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?

1.使用Windows xp attack虚拟机,使用指令file RaDa.exe查看文件类型,可以得知这是一个带图形化窗口的32位PE文件

2.使用PEiD工具(从网页上下载的v0.95版本)来查壳的类型,可以看到PEiD显示的是一个版本为0.89.6的UPX壳

3.接着用指令strings RaDa.exe,可以发现显示的是乱码,所以我们需要进行一个脱壳的操作

4.接下来完成脱壳操作,使用Windowsxp自带的超级巡警之虚拟机自动脱壳器v1.3软件进行脱壳。
这里也识别出了是一个版本为0.89.6的UPX壳,脱完之后输出为RaDa_unpacked.exe

5.打开IDA Pro Free选择脱壳之后的文件RaDa_unpacked.exe,可以得到作者的信息DataRescue sa/nv和邮箱。

动手实践任务二:分析Crackme程序

任务:在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe,寻找特定的输入,使其能够输出成功信息。
1.首先分析crackme1.exe,在cmd下执行crackme1.exe,发现有不同的响应

2.使用IDA Pro打开crackme1.exe,在string窗口中可以看到有两张反馈是上面我们得到的

3.接下来在view中打开Function Call,可以看到sub_401280函数下的输出,所以重点关注该函数


4.还是在view中打开flow chart,可以找到sub_401280函数,放大后看汇编代码



5.可以看到cmp指令是比较,jmp指令是跳转,如果是FALSE则返回“I THINK U ARE MISSING SOMETHING”,如果是TRUE则接着判断

6.接着是strcmp指令与字符串"I KNOW THE SECRET"相比较,jz跳转。
如果是FALSE就返回"Pardon? What did you say?"如果正确则返回"You know how to speak to programs, Mr.。。。"

7.所以直接输入字符串"I KNOW THE SECRET"即可

8.然后分析crackme2.exe,直接尝试上一个输入,发现不得行

9.同样使用IDA Pro打开crackme2.exe,在string窗口中可以看到有反馈是上面我们得到的

10.接下来还是在view中打开Function Call,可以看到sub_401280函数下的输出,所以还是重点关注该函数


11.还是在view中打开flow chart,可以找到sub_401280函数,放大后看汇编代码


12.可以看到cmp指令是比较,jz指令是跳转,如果是FALSE则返回“I THINK U ARE MISSING SOMETHING”,如果是TRUE则接着判断

13.接着是strcmp指令与程序名相比较,jz指令跳转。

如果是FALSE就返回"I HAVE AN IDENTITY PROBLEM"如果正确则返回"You know how to speak to programs, Mr.。。。"

标签:脱壳,exe,rada,恶意代码,实践,指令,2021,2022,跳转
来源: https://www.cnblogs.com/bdk-zxc/p/16216894.html