20252821 2025-2026-2 《网络攻防实践》第8周作业
20252821 2025-2026-2 《网络攻防实践》第8周作业
1.实践内容
1.1 动手实践任务一
对名为 rada 的恶意代码样本进行分析,目标是找出其作者。需要依次完成:
- 通过文件识别工具判断该样本的文件格式、目标运行平台以及使用了哪种加壳工具;
- 使用脱壳软件(如超级巡警脱壳机)对样本进行脱壳处理;
- 利用字符串提取工具从脱壳后的文件中获取有效字符串,从中定位编写作者的信息。
1.2 动手实践任务二
在 Windows XP Attacker 虚拟机环境下,借助 IDA Pro 对 crackme1.exe 和 crackme2.exe 进行静态或动态分析。需要找到能使程序输出成功提示信息的特定输入内容。
1.3 分析实践任务一
针对一个名为 rada 的自制恶意代码样本进行分析,并撰写报告,报告需涵盖以下问题:
- 提供该二进制文件的概要信息,包括能够用于识别同一样本的关键特征;
- 确定并解释该文件的主要功能目的;
- 指出并说明该文件具备的各类特征;
- 识别并解释该文件中用于防范分析或逆向工程的技术手段;
- 对该恶意代码进行分类(如病毒、蠕虫等),并说明分类依据;
- 列举过去已知的、功能相似的其它工具;
- 判断是否可能追踪到该文件的作者,若可以,说明在何种环境与限制条件下可行。
1.4 分析实践任务二
分析一份来自被攻破的 Windows 2000 系统(已加入僵尸网络)的网络日志数据。原始数据由 Snort 在蜜罐主机上收集,持续 5 天,经过编辑去除了无关流量并合并为单个二进制日志文件,IP 地址和敏感信息已被混淆。需要回答:
- 解释 IRC 的含义、客户端加入 IRC 网络时发送的消息类型、以及 IRC 常用的 TCP 端口;
- 解释僵尸网络的概念及其常见用途;
- 确定蜜罐主机(IP 为 172.16.134.191)与哪些 IRC 服务器有过通信;
- 统计在观测期间访问 209.196.44.172 这个僵尸网络服务器的不同主机数量;
- 找出用于攻击蜜罐主机的源 IP 地址;
- 识别攻击者尝试利用的安全漏洞;
- 说明哪些攻击成功、成功的方式及大致过程。
2.实践过程
2.1 追踪rada恶意代码
安装 解压工具unrar。
点击查看代码
sudo apt update
sudo apt install unrar
将学习通上的rada.rar下载到kali中。然后用刚刚下载的解压工具unrar进行解压。
unrar x -prada rada.rar
