20251910 2025-2026-2 《网络攻防实践》第8次作业

20251910 2025-2026-2 《网络攻防实践》第8次作业

目录

• 20251910 2025-2026-2 《网络攻防实践》第8次作业
  • 1.实践内容
    • 1.1实践要求
    • 1.2 相关知识
  • 2.实践过程
    • 2.1 动手实践任务一 分析rada恶意代码样本
    • 2.2 动手实践任务二 分析Crackme1
    • 2.3 动手实践任务二 分析Crackme2
    • 2.4 分析实践任务一 分析一个自制恶意代码样本rada
    • 2.5 分析实践任务二 Windows 2000系统被攻破并加入僵尸网络
  • 3.学习中遇到的问题及解决
  • 4.实践总结

1.实践内容

1.1实践要求

• 动手实践任务一

对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：

（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；
（2）使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；
（3）使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？

• 动手实践任务二：分析Crackme程序

任务：在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe，寻找特定的输入，使其能够输出成功信息。

• 分析实践任务一：

分析一个自制恶意代码样本rada，并撰写报告，回答以下问题：

1、提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；

2、找出并解释这个二进制文件的目的；

3、识别并说明这个二进制文件所具有的不同特性；

4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；

5、对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；

6、给出过去已有的具有相似功能的其他工具；

7、可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？

• 分析实践任务二：

Windows 2000系统被攻破并加入僵尸网络

任务：分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源，并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中，同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。回答下列问题：

1、IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？

2、僵尸网络是什么？僵尸网络通常用于什么？

3、蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？

4、在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？

5、那些IP地址被用于攻击蜜罐主机？

6、攻击者尝试攻击了那些安全漏洞？

7、那些攻击成功了？是如何成功的？

1.2 相关知识

1. UPX加壳技术

UPX（Ultimate Packer for Executables）是一款开源的、广泛使用的可执行文件压缩工具。攻击者常利用UPX对恶意代码进行加壳处理，一方面可以减小文件体积便于传播，另一方面可以隐藏原始代码中的字符串和指令特征，增加静态分析的难度。由于UPX是公开工具，使用upx -d命令即可轻松脱壳，因此它并非高级的反分析手段。

2. 恶意代码分类

常见的恶意代码类型包括：病毒（Virus），需要依附于宿主文件并通过用户交互进行传播；蠕虫（Worm），可自主通过网络传播，无需用户干预；木马（Trojan），伪装成合法软件诱骗用户安装，通常提供后门功能；后门程序（Backdoor），允许攻击者绕过正常认证机制远程控制系统；僵尸网络客户端（Bot），受控于C&C服务器的被感染主机，可接收并执行远程指令。

3. 恶意代码反分析技术

恶意代码常采用多种技术对抗安全分析：加壳（Packing），压缩或加密代码以隐藏真实逻辑；混淆字符串（Obfuscated Strings），使用虚假或误导性字符串干扰分析方向；反虚拟机检测（Anti-VM），检测运行环境是否为虚拟机从而改变行为。

4. Windows常见攻击端口

Windows系统中被攻击者频繁利用的端口包括：135端口（RPC远程过程调用服务）、139端口（NetBIOS会话服务）、445端口（SMB文件共享服务，常被用于蠕虫传播和远程命令执行）、4899端口（Radmin远程管理工具）、137端口（NetBIOS名称服务，常被用于网络侦察和信息收集）。

2.实践过程

2.1 动手实践任务一 分析rada恶意代码样本

（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具

使用exeinfo软件打开rada.exe文件，可以获得以下信息，rada文件为pe32文件格式，也就是Windows 32位系统下的可执行文件，运行平台为Windows 32位平台，所加的壳为UPX -> Markus & Laszlo

（2）使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理

这里使用PEid通用脱壳工具对rada恶意代码样本进行脱壳

（3）使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？

在ida pro中打开rada后，可以发现样本的编写作者为Raul Siles 和 David Perez

2.2 动手实践任务二 分析Crackme1

使用ida pro打开crackme1，分析文件，首先找到其关键函数，查看程序流程图

由代码结构可知，该程序一共进行了两轮判断，第一轮判断用户输入是否为两个参数（crackme1.exe也算作一个参数，所以是输入一个参数），若不是则输出"I think you are missing something.\n" 且 return 1，如是，则进入下一个判断语句
第二轮判断用户输入的第二个参数也就是argv[1]是否为"I know the secret"，若是则return 0，否则输出"Pardon? What did you say?\n"并return 2。

输入信息验证猜想，实验成功

2.3 动手实践任务二 分析Crackme2

对于Crackme2文件，同样将其使用ida pro打开，首先找到其关键函数，调用程序流程图

顺着true的分支分析其具体逻辑可以看出，想要得到正确的输出，需要经过三轮判断，第一轮判断和第三轮判断和crackme1的判断逻辑相同都是检测参数数量和输出的字符串
比较特殊的是第二轮判断，其对输入的第一个参数也就是文件名进行判断，也就意味着我们需要把crackme2.exe的文件名改为crackmeplease.exe
所以我们把文件名改为crackmeplease.exe后，运行 crackmeplease.exe "I know the secret" 即可得到正确结果

2.4 分析实践任务一 分析一个自制恶意代码样本rada

使用md5sum工具查看RaDa.exe的摘要，可以得到这个二进制文件的摘要

打开监视工具 process explorer 和 wireshark 开始监听，分析该恶意代码的目的

使用ida pro打开要分析的文件，并在edit -> setup中将编码设置为unicode以便将strings正常表示

与2.2中相同，能看到其中的作者信息

在ida 中查看字符串，能够发现其中使用 HTTP请求 10.10.10.10\RaDa\RaDa_commands.html ，连接到目标为10.10.10.10的主机下的一个名为RaDa_commands的网页。
之后又下载和上传文件到 C:/RaDa/tmp。将文件 RaDa.exe 复制到了 C:\RaDa\bin 目录下

这里有一行字符串，疑似为进行了DDOS攻击

再往下看可以发现该恶意程序对主机的注册表进行了读写和删除操作
get命令下载， put命令上传， screenshot命令截屏， sleep命令休眠

使用wireshark进行分析，可以看到受害主机向目标主机 10.10.10.10 发送了大量的数据包，并不像是DDOS攻击

总结：

• 1.提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息： 摘要为caaa6985a43225a0b3add54f44a0d4c7； 使用了UPX加壳工具进行了加壳处理

• 2.找出并解释这个二进制文件的目的： 这个二进制文件通过网络获取指令，连接互联网时，该恶意程序就会通过http请求连接到指定主机，进行接受攻击者指令操作，并且攻击者可以完全控制该系统，所以这应该是一个后门程序。

• 3.识别并说明这个二进制文件所具有的不同特性： 该程序启动之后将自己复制到c盘之中，并且每过一段时间就会尝试与10.10.10.10建立tcp连接

• 4.识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术： UPX加壳，一些干扰字符串Starting DDoS Smurf remote attack，让分析者误认为是程序执行 DDoS 攻击

• 5.对这个恶意代码样本进行分类(病毒、蠕虫等)，并给出你的理由： 属于木马程序，通过将自己复制到计算机指定位置后，可以执行get/sleep等敏感操作。

• 6.给出过去已有的具有相似功能的其他工具： Bobax——2004也是使用HTTP协议从指定的服务器下载命令文件，然后解析并执行其中的指令

• 7.可能调查出这个二进制文件的开发作者吗?如果可以，在什么样的环境和什么样的限定条件下? 作者为Raul siles 和 David Perze。使用ida或strings能查看，或者在非vmware环境下执行–authors参数。

另外使用ai借助ida pro的mcp，可以通过样本的其它特征获取更多的信息

2.5 分析实践任务二 Windows 2000系统被攻破并加入僵尸网络

• 1、RC是什么？当IRC客户端申请加入一个IRC网络时将发送哪个消息？IRC一般使用哪些TCP端口？
  IRC（Internet Relay Chat） 是一种基于文本的实时网络聊天协议，采用客户端-服务器架构，通过服务器之间的中继实现跨服务器的群组通信。当IRC客户端申请加入一个IRC网络时，首先发送NICK消息设置昵称，然后发送USER消息提供用户信息（用户名、主机名等），注册成功后使用JOIN消息加入具体频道。IRC常用的TCP端口包括：6667（最常用标准端口）、6665～6669端口范围、6697（SSL/TLS加密端口）以及194（IANA官方分配的端口）。

• 2、僵尸网络是什么？僵尸网络通常用于干什么？
  僵尸网络（Botnet） 是指攻击者利用恶意软件（蠕虫、木马等）感染并控制大量联网主机，从而构建的由命令与控制信道远程操控的计算机网络。被感染的主机在用户不知情的情况下接受攻击者指令，协同执行恶意活动。僵尸网络通常用于发起DDoS攻击、批量发送垃圾邮件和钓鱼邮件、窃取敏感信息等。

• 3、蜜罐主机(IP:172.16.134.191)与哪些IRC服务器进行了通信？
  使用Wireshark打开数据文件，并设置过滤条件ip.src == 172.16.134.191 and tcp.dstport ==6667，通过分析得知IRC通过6667端口，我们可以找到五个IRC服务器209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10、209.196.44.172

• 4、在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？

通过命令去tcpflow分流筛选指定host与端口6667，root模式下，命令如下

tcpflow -r botnet_pcap_file.dat "host 209.196.44.172 and port 6667"

查看配置文件report.xml,可获知两个主机互相通信的时间、IP、mac地址、使用端口、包裹数等信息

grep搜索获取昵称输出行,root模式下，命令如下

cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ://g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l

可以看到有3461台主机访问了以209.196.44.172为服务器的僵尸网络

• 5、那些IP地址被用于攻击蜜罐主机？
  使用指令找出所有的可能连接的主机的IP地址，root模式下，命令如下

tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > ip.txt;wc -l ip.txt

可以看到共有165个主机，具体IP值存储在文件ip.txt中

• 6.攻击者尝试攻击了哪些安全漏洞？
  筛选有响应的TCP端口，即SYN/ACK标志为1，并筛选有响应的UDP端口。root模式下，命令如下

tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniqtcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq

可以看到TCP响应端口为135(rpc)，139(netbios-ssn)，25(smtp)，445(smb)，4899(radmin)，80(http)。UDP响应端口位137(NetBIOS)

• 7.哪些攻击成功了？是如何成功的？
  对每个响应的端口在wireshark中进行过滤筛选，来查看是否攻击成功，除去一些正常连接的端口外，锁定了445号端口和80端口，进行详细分析

445号端口连接非常多，可以看到许多 \samr，\srvsvc 字符串。61.111.101.78向蜜罐放了PSEXESVC.EXE，这是一种Dv1dr32蠕虫病毒的特征码，这种蠕虫正是通过IRC进行通信，攻击者对系统注入了蠕虫病毒并成功获取了远程调用。对445端口实施的攻击是成功的。

查看80端口

连接最多的就是24.197.194.106 这个IP，他的行为就是不停的用脚本攻击 IIS 服务器的漏洞，从而获取系统权限。
210.22.204.101访问80端口
猜测攻击者是想通过缓冲区溢出攻击来获得一个命令行。
218.25.147.83访问80端口，追踪其tcp流会看到c:\notworm，说明这是一个蠕虫攻击。上网搜索发现是红色代码（red code）病毒。

3.学习中遇到的问题及解决

• 问题1：网络流量分析时数据量太大，不得要领
• 解决方法：在询问施为乐之后使用指令进行筛选，减少数据分析工作量

4.实践总结

在本次实验中，从文件识别、脱壳、IDA逆向到Wireshark抓包分析，对病毒程序进行了全方位的分析，继之前使用攻击平台之后，我对病毒的本质有了更深的理解，从底层代码逻辑层次理解了病毒的运行及复制逻辑。并且在实验中，我也学习到了攻击者为了防止被破解或被发现本质意图，会对软件的行为、代码进行混淆和保护。网络攻防本身就是一个不断进步的过程，攻击者在进步，防御者也在进步，不能有一丝懈怠。