20192430 2021-2022-2 《网络与系统攻防技术》实验四实验报告

一、实验内容

一、恶意代码文件类型标识、脱壳与字符串提取

对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：

（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；

（2）使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；

（3）使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？

二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe，寻找特定输入，使其能够输出成功信息。

三、分析一个自制恶意代码样本rada，并撰写报告，回答以下问题：

（1）提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；

（2）找出并解释这个二进制文件的目的；

（3）识别并说明这个二进制文件所具有的不同特性；

（4）识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；

（5）对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；

（6）给出过去已有的具有相似功能的其他工具；

（7）可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？

四、取证分析实践

Windows 2000系统被攻破并加入僵尸网络

问题： 数据源是Snort收集的蜜罐主机5天的网络数据源，并去除了一些不相关的流量，同时IP地址和其他敏感信息被混淆。回答下列问题：

（1）IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？

（2）僵尸网络是什么？僵尸网络通常用于什么？

（3）蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？

（4）在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？

（5）哪些IP地址被用于攻击蜜罐主机？

（6）攻击者尝试攻击了那些安全漏洞？

（7）那些攻击成功了？是如何成功的？

二、实验过程

标签：脱壳,rada,二进制,恶意代码,样本,2021,2022,20192430,IRC
来源： https://www.cnblogs.com/20192430xzc/p/16129433.html