20212422 2023-2024-2 《网络与系统攻防技术》实验四实验报告

最新推荐文章于 2024-06-21 22:33:20 发布
最新推荐文章于 2024-06-21 22:33:20 发布
阅读量769 收藏 28
点赞数 14
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62978988/article/details/137584168
版权

20212422 2023-2024-2 《网络与系统攻防技术》实验四实验报告

1.实验内容

一、恶意代码文件类型标识、脱壳与字符串提取
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:
(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?

二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。

三、分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:
(1)提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
(2)找出并解释这个二进制文件的目的;
(3)识别并说明这个二进制文件所具有的不同特性;
(4)识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;
(5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;
(6)给出过去已有的具有相似功能的其他工具;
(7)可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?

四、取证分析实践
Windows 2000系统被攻破并加入僵尸网络

问题: 数据源是Snort收集的蜜罐主机5天的网络数据源,并去除了一些不相关的流量,同时IP地址和其他敏感信息被混淆。回答下列问题:
(1)IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?
(2)僵尸网络是什么?僵尸网络通常用于什么?
(3)蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
(4)在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
(5)哪些IP地址被用于攻击蜜罐主机?
(6)攻击者尝试攻击了那些安全漏洞?
(7)那些攻击成功了?是如何成功的?

2.实验过程

2.1 恶意代码文件类型标识、脱壳与字符串提取

2.1.1 使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具

2.1.1.1 查看文件格式

在Kali中进入目标文件夹rada,然后使用

# file命令它通常用于在 Linux 系统上检查文件的类型
file rada.exe

查看文件类型
在这里插入图片描述
分析得出,rada.exe是一个32位的PE文件,运行在Intel 80386 GUI上,针对Windows系统。

2.1.1.2 查看运行平台

使用PE Explorer查看RaDa.exe的文件信息
在这里插入图片描述
得知运行平台字段为0x014c,说明该文件可运行在Intel386处理器或后续兼容处理器上,也就是32位系统的机器上。

2.1.1.3 查看加壳工具

利用PeiD查看文件是否加壳:
在这里插入图片描述
UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo,表示可知该文件加的一个0.89.6版本的UPX壳。

2.1.2 对rada恶意代码样本进行脱壳处理

使用超级巡警虚拟机脱壳机软件,对rada.exe文件进行脱壳处理,处理之后的文件名位RaDa_unpacked.exe。
在这里插入图片描述
在这里插入图片描述

2.1.3 对脱壳后的rada恶意代码样本进行分析

使用strings命令分析RaDa_unpacked.exe

strings RaDa_unpacked.exe

在这里插入图片描述

  • 查找关键信息:
    在这里插入图片描述
    由© Raul Siles && David Perez,得知rada恶意代码的编写作者为Raul Siles和David Perez。

2.2 使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息

2.2.1 查看文件信息

  • 利用file指令分析一下crackme1.exe和crackme2.exe的信息
    在这里插入图片描述二者均为windows系统下运行的32位可执行程序。

2.2.2 分析crackme1.exe

2.2.2.1 试探输入格式

通过多次输入,尝试不同的参数个数,来试探一下crackme1.exe的输入参数的要求
在这里插入图片描述
输入1个参数时,回复“Pardon? What did you say?”,猜测其表示参数个数正确,但输入参数错误;参数个数不为1时,输出“I think you are missing something.”,猜测其为参数个数出错。
据此推测,输入参数极有可能要求为1个。

2.2.2.2 IDA分析
  • 我们利用IDA,选择“View→Open subviews→strings”,查看字符串。
最低0.47元/天 解锁文章
20212422陈睿
关注
  • 14
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
20212422 2023-2024-2 《网络系统攻防技术实验实验报告
weixin_62978988的博客
04-22 800
轻量级的搜索可以搜素出一些遗留后门,不想被发现的后台入口,中量级的搜索出一些用户信息泄露,源代码泄露,未授权访问等等,重量级的则可能是mdb文件下载,CMS 未被锁定install页面,网站配置密码,php远程文件包含漏洞等重要信息。本次实验网络功放的第五次实验,相比较前几次的实验,这次实验没有很多复杂烧脑的操作,除了Nessus的下载稍微麻烦一点,其他的操作都比较按部就班,不过简单操作的背后,是用实操带领我熟悉信息搜集技术的相关知识,我是比较喜欢本次实验的节奏与感觉的。因此,该产品很可能存在安全漏洞。
20212422 2023-2024-2 《网络系统攻防技术实验实验报告
weixin_62978988的博客
05-12 917
实验自由度很高,我对Metasploit的使用也熟练了不少,不管是如何确定需要的payload,还是补全各种options的参数,都更加得心应手。这是网络攻防的第六次实验了,总体上问题遇到的并不少,但是在经过了前五次实验的洗礼,不管是无数次重启虚拟机、重装虚拟机,还是查阅大量的不全并且可能会出问题的教程,我的心态已经变得无比平和。这里会生成一个.docx文件,看后缀非常熟悉,这就是word格式的文件,可以使用office打开。3.一个针对客户端的攻击,如Adobe或office,尽量使用最新的类似漏洞;
20212422 2023-2024-2 《网络系统攻防技术实验实验报告
weixin_62978988的博客
05-15 667
但是可能是因为有一些信息安全保障技术课设的基础,所以我对SQL注入和XSS攻击的方式相对而言比较熟悉,但是对PHP语言进行网页编程的方式就很陌生,所以也是查阅了一些资料,借助了一些AI的力量,并顺利完成了实验。因为我靶场使用的不是webgoat而是pikachu,而pikachu的通关需要用到Burp抓包分析,所以在安装burp这一不上我耗费了不少时间,然后安装好之后,在如何使用Burp抓包问题上又花了很长时间,因为这个抓包软件的使用方式和WireShark的不太一样。
20202413 2021-2022-2 《网络系统攻防技术实验实验报告
weixin_51198288的博客
04-05 595
感谢前人栽树
20202407 2021-2022-2 《网络系统攻防技术实验实验报告
m0_65266036的博客
04-19 366
本次实验所需要使用的工具相比前几次更丰富,耗时也更长。恶意代码的分析方法主要分为静态分析方法和动态分析方法。这两种方法在本次实验中都有所涉及。静态分析方法是指在不执行程序的条件下进行分析,如反汇编分析等;而动态分析方法是指在恶意代码执行的情况下,利用调试工具对恶意代码实施跟踪和观察,比如抓包等等,确定恶意代码的工作过程,以便作进一步分析。
基于云计算技术网络安全攻防实验平台设计与研究.pdf
07-17
基于云计算技术网络安全攻防实验平台设计与研究 本文主要研究了基于云计算技术网络安全攻防实验平台的设计与研究,以解决当前网络安全攻防实验平台的成本高、实验环境受限等问题。文章首先介绍了网络安全的重要...
上海应用技术学院-数据库-实验六.pdf
11-02
实验报告中涉及的数据库知识主要围绕SQL语言展开,包括数据更新、视图操作以及关系数据库的基本操作。以下是对这些知识点的详细说明: 一、SQL操作 SQL(Structured Query Language)是用于管理和处理关系数据库的...
网络安全实验报告完整.doc
06-09
实验网络攻防技术 矛与盾的关系告诉我们,在研究网络安全技术时,只着眼于安全防范技术是远远不够 的,知己知彼方能百战不殆,因此,很有必要同时研究攻击与防范技术,才能更有效地 解决各种威胁。 实验 ...
《计算机网络安全》实验教学创新初探.pdf
09-20
4. **优化实验考核方式**:不再单纯依赖实验报告评价,而是综合考虑学生在实验过程中的参与度、解决问题的能力和创新思维。 5. **提升教师实战经验**:教师需要具备一定的实战经验,以更新教学方法,将实践经验融入...
网络信息安全综合实验任务书2
01-15
总的来说,这份实验任务书覆盖了网络信息安全的关键方面,包括安全协议、审计、攻防技术和密码学,旨在培养学生的综合技能,使他们能够在实际环境中有效地识别和解决安全问题。通过这样的实践活动,学生可以深化理论...
不出网上线CS的各种姿势(内网横向)
qq_64395221的博客
06-21 923
在内网环境中可以使用ipc $生成的SMB Beacon上传到目标主机执行,但是目标主机并不会直接上线的,需要我们自己用链接命令(link <ip>)去连接它。经常是拿下一台边缘机器,其有多块网卡,用于连接内外网,内网机器都不出网。因为连接的Beacons使用Windows命名管道进行通信,此流量封装在SMB协议中,所以SMB Beacon相对隐蔽,绕防火墙时可能发挥奇效。一样,建立pystinger连接之后,直接生成payload在业务主机执行,业务内网主机192.168.111.236即可成功上线。
Java——包
Stewie Lee的博客
06-21 838
包是Java命名空间机制的一部分,用于将相关的类、接口和子包进行分组,以避免命名冲突和提高代码的可维护性,以及控制类、接口等的访问范围。在一个Java源文件的开头使用package关键字来声明它所属的包。
Spring Boot如何集成WebSocket
fengjing81的专栏
06-21 439
在Spring Boot中集成WebSocket,你通常可以使用Spring框架提供的WebSocket支持,包括STOMP(Simple Text Orientated Messaging Protocol)和SockJS(用于浏览器和WebSocket服务器之间的通信的库,提供了多种传输方式)。在你的pom.xml(Maven)或build.gradle(Gradle)中添加Spring Boot的WebSocket和STOMP支持的相关依赖。配置WebSocket。// 显示接收到的消息。
掌握rpc、grpc并探究内在本质
m0_63230155的博客
06-18 1163
在go语言中自带了net/rpc包,在这个包中包含了对rpc的封装,可以理解为就是之前提到的与其中是go内部提供的一种默认的序列化方式。在前面的内容中给大家介绍了rpc的功能、案例以及go中net/rpc的实现,在目前的业界中项目的开发技术u运用越来越多,如多种语言的结合开发,多平台的结合开发。在这种情况下就会带来新的问题,如rpc如何设计可以很好的支持版本的迭代发展问题在各个项目中对于rpc的交互如何实现跨平台跨语言的问题针对普通rpc在通讯中存在的问题google提出grpc来解决。
Java中的网络编程实践指南
weixin_44627014的博客
06-19 247
通过本文的介绍,相信大家对Java中的网络编程有了更深入的了解。网络编程是Java开发中非常重要的一部分,掌握了这些技术,可以让我们更好地开发各种类型的网络应用,提高开发效率和代码质量。
计算机网络5:运输层
sylviiiiiia的博客
06-18 683
计算机网络中实际进行通信的真正实体,是位于通信两端主机中的进程。如何为运行在不同主机上的应用进程提供直接的逻辑通信服务,就是运输层的主要任务。运输层协议又称为。运输层向应用层实体屏蔽了下面网络核心的细节(例如网络拓扑、所采用的路由选择协议等),它使应用进程看见的就好像是在两个运输层实体之间有一条端到端的逻辑通信信道。根据应用需求的不同,因特网的运输层为应用层提供了两种不同的运输层协议,即面向连接的TCP和无连接的UDP,这两种协议就是本章要讨论的主要内容。
计算机网络
最新发布
qq_32765617的博客
06-21 1020
TCP接收方的缓存已满,而交互式的应用进程一次只从接收缓存中读取1个字节,然后向发送方确认,并把窗口设置为1个字节(但发送的数据报是40字节长)。原理:分时,把时间划分为小的时间片,在不同的时间片传输不同的信号,所有用户在不同的时间占用同样的频带宽度。考的不咋样的感觉,以及,参考课本是谢希仁那版第八版,以及,包含的是我们老师画的一些点,并不是很全面。主动打开连接的为客户端,被动打开连接的是服务器。把要发送的整块数据称为一个报文,在发送报文之前,先把较长的报文划分为一个个更小的等长数据段。
计算机网络-第2章物理层
2302_78218660的博客
06-19 1110
①物理层考虑的是怎样才能在连接各种计算机的传输媒体上传输数据比特流,而不是指具体的传输媒体。②物理层的作用是要尽可能地屏蔽掉这些传输媒体和通信手段的差异。③用于物理层的协议也常称物理层规程。确定与传输媒体的接口有关的一些特性:①机械特性:接口所用接线器的形状和尺寸,引脚数目和排列等。②电气特性:电压范围。③功能特性:某一电平的电压意义。④过程特性:不同功能的各种可能事件的出现顺序。数据在计算机内部多采用并行传输方式,但数据在通信线路上的传输方式一般都是串行传输(出于经济上的考虑)。
【计算机网络体系结构】计算机网络体系结构实验-www实验
weixin_52553215的博客
06-19 541
2.浏览器打开。
Spanning-tree 攻防实验 发起攻击后,PC1的网络中断
07-08
在Spanning Tree攻防实验中,如果你发起了攻击并导致PC1的网络中断,可能有以下几个可能的原因: 1. 攻击导致环路:如果你在网络中引入了一个环路,例如在不同的交换机之间创建了多个连接,Spanning Tree Protocol(STP)会自动检测到环路并关闭其中一个或多个端口。这可能导致PC1所连接的端口被关闭,从而导致网络中断。 2. 攻击触发了BPDU Guard:如果你的攻击导致了非法的BPDU帧传播到网络中,交换机上启用了BPDU Guard的端口会被设置为错误禁用状态。如果PC1所连接的端口启用了BPDU Guard,并且检测到了非法BPDU帧,该端口将被禁用,从而导致网络中断。 3. 攻击触发了端口安全机制:如果在PC1所连接的交换机端口上启用了端口安全机制,并且你的攻击导致了违规的MAC地址或超过允许设备数量的情况,端口可能会被禁用,导致PC1的网络中断。 需要仔细检查攻击行为和配置,以确定造成PC1网络中断的具体原因,并采取相应的措施来修复网络中断问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值