目录
1.实验内容
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者。
使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。
分析一个自制恶意代码样本rada,并回答问题。
通过WireShark进行僵尸网络等分析取证,从数据包中观察僵尸网络的攻击方式和具体漏洞。
本次实验我学习了如何对恶意软件进行分析,包括如何使用脱壳工具和反编译工具和Linux下的一些指令对文件进行分析。还学习了对wireshark抓取的大量数据包进行分析,从中获取攻击方式和目的。
2.实验过程
2.1恶意代码文件类型标识、脱壳与字符串提取
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,实验过程如下:
2.1.1使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具
在kali中可以使用file命令对文件的信息进行查看
从中可以看出,该文件是一个32位的PE文件,有GUI,基于Intel 80386,运行在windows操作系统上,有三个节。
接下来使用PEiD工具对文件进行分析
从中可以看到文件运行的入口地址为0000FD20,文件偏移量为00004120。
从地下文本框中的信息也可以得知这是一个使用UPX加壳的文件。
2.1.2进行脱壳处理
PEiD中自带的插件有UPX脱壳工具,这里直接使用它就可以了。
成功生成了脱壳后的unpacked.exe文件
将unpacked.exe文件放入kali中使用strings命令查看
往下找可以看到一个看起来像两个人名的字符串
将文件放入IDA中分析,使用字符串查看工具,将编码调整成unicode,可以看到显示出了author。说明这两个人名是文件的作者。
2.2使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息
首先先查看文件的类型信息
两个文件都是在控制台模式下运行的,基于Intel 80386,在windows系统运行,共有7个节。
2.2.1分析crackme1.exe
先运行一下该文件,以多种不同的参数传入,大致先了解可能输出什么内容。
从图中可以看出,当输入参数为1时,输入为Pardon? What did you say?,而其余情况下均为I think you are missing something,大致可以判断正确的输入应该为一个参数。那么接下来查找正确的输入是什么。
使用IDA工具打开crackme1文件,可以查看以下流程图:
从流程图中的字符串可以看出,当输入“I know the secret”的时候,可以得到一个不同于前两个的输出,使用strings命令查看文件试试:
<
最低0.47元/天 解锁文章
扫一扫
4445
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
