1.实验内容
总结一下本周学习内容,不要复制粘贴
2.实验过程
1.恶意代码文件类型标识、脱壳与字符串提取,对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者。
(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具。
首先使用file指令查看文件类型,可以看见是一个PE32格式的可执行文件。
接下来使用PEiD工具查看RaDa.exe的基本信息,可以看到文件的入口点、偏移、文件类型、EP短、汇编程序以及加壳类型为upx。
再使用strings命令查看RaDa.exe中可打印字符串,由于加壳结果是一团乱码。
(2)使用超级巡警脱壳机脱壳软件,对rada恶意代码样本进行脱壳处理。
可以看见超级巡警脱壳机支持该upx脱壳,省去了人工脱壳的麻烦。
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析。
脱壳成功后再次使用strings命令查看,现在可以看见正常的字符串。
查看分析可知rada恶意代码的编写作者为Raul Siles与David Perez。
2.使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
(1)查看crackme的文件类型,进行初步破解。
使用file命令查看crackme文件类型,可以看见都是32位windows下PE文件。
尝试运行程序,发现crackme1.exe和crackme2.exe都是在输入一个参数下,有不同反映,可以初步认为crackme1.exe和crackme2.exe需要参数数量为1。
(2)用IDA pro工具破解crackme1.exe文件,进行破解。
查看字符串,发现“I know the secret”和“You know how to speak to programs, Mr. Reverse-Engineer\n”两个未见字符串,初步猜测“You know how to speak to programs, Mr. Reverse-Engineer\n”为正确输出信息。
查找“I know the secret”的调用,根据函数调用,猜测对“I know the secret”进行了比较,正确则输出正确输出信息,即“I know the secret”为密码。
验证猜想,符合预期,破解成功。
(3)用IDA pro工具破解crackme2.exe文件,进行破解。
crackme2.exe结构与crackme1.exe相似,查看main函数调用,发现进行了两次比较,第一次对“crackmeplease.exe”,第二次对“I know the secret”。
具体查看main函数,寻找比较的具体对象。可以发现比较的具体对象为argc参数,并且是2个。推测“crackmeplease.exe”作为文件名被比较,“I know the secret”作为密码被比较。
将crackme2.exe复制一份名为crackmeplease.exe的副本,验证猜想,符合预期,破解成功。
3.分析自制恶意代码样本rada。
3.问题及解决方案
- 问题1:使用powershell破解crackme2.exe时失败
- 问题1解决方案:crackme2.exe破解需从命令行验证文件名信息,powershell执行命令需要使用“./”导致验证失败,使用cmd破解即可解决。
![image]()
- 问题2:XXXXXX
- 问题2解决方案:XXXXXX - ...
4.学习感悟、思考等
xxx xxx