1.对RaDa.exe代码样本进行分析文件类别、脱壳、字符串提取及代码分析。

（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；

（2）使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；

（3）使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？

2.对crackeme1.exe和crackeme2.exe进行分析，获取正确输入的信息。

3.分析恶意代码样本RaDa

（1）提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；

（2）找出并解释这个二进制文件的目的；

（3）识别并说明这个二进制文件所具有的不同特性；

（4）识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；

（5）对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；

（6）给出过去已有的具有相似功能的其他工具；

（7）可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？

4.取证分析实践Windows 2000系统被攻破并加入僵尸网络

（1）IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？

（2）僵尸网络是什么？僵尸网络通常用于什么？

（3）蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？

（4）在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？

（5）哪些IP地址被用于攻击蜜罐主机？

（6）攻击者尝试攻击了那些安全漏洞？

（7）那些攻击成功了？是如何成功的？

实验工具：PE Explorer、PEID、IDA Pro、Wireshark

基础知识：文件类型标识、脱壳、字符串提取、恶意代码

（1）在kali上查看文件

给出的信息是PE32 可执行的，包含GUI界面的、英特尔 80386 Winodws系统文件。

（2）使用PE Explorer查看文件信息

得到的信息与kali一致

（3）使用PEID查看文件加壳信息

可以看到工具已经分析出为UPX加壳。

使用PEID进行脱壳

选择：“->” > "插件" > " Unpacker for UPX"

可以看到生成了脱壳文件

（1）在kali中使用strings命令分析unpacked.exe

其中出现“Raul Siles && David Perez”判断与作者有关

（2）使用IDA进一步分析字符串

使用IDA Pro打开unpacked.exe，菜单栏中选择“视图”>“打开子视图”>“字串”,右键选择“设置”，更改“允许字串类型”为Unicode C-style，

可以看到作者为“Raul Siles && David Perez”还包括了文件创建时间等信息。

（1）在kali下查看文件信息

两者都为Windows系统下的可执行文件（2）在IDA中打开crackme1.exe

在菜单栏中选择“跳转”>“跳转到函数”>“main”后按F5反编译

可以看到程序的基本内容，推断正确的输入为“I know the secret”，使用wine进行验证

则以上判断正确

根据反编译的结果判断正确输入应为crackmeplease.exe "I know the sercret" ，在Windows中先进行copy并设定文件名为“crackmeplease”,后进行输入，得到了正确的输出。

（1）生成RaDa的摘要

（2）使用IDA查看文件内容，找出并解释这个二进制文件的目的“视图”>“打开子视图”>“字串”

程序执行了连接网络

下载解压文件

创建两个文件

创建注册表（HKLM）

进行截屏等操作

运行程序

（3）识别并说明这个二进制文件所具有的不同特性此文件可以进行创建注册表、访问设定网站、创建文件、截屏等操作。

（4）识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术使用了UPX加壳。

（5）对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由后门程序，程序的目的是伪装自己并远程获取主机信息，没有传播或其他功能。

（6）给出过去已有的具有相似功能的其他工具；实验二中MSF生成的后门程序，Netcat、冰河等

（7）可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？前文已经得到的“Raul Siles && David Perez”及

（1）IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？irc介绍IRC是Internet Relay Chat 的英文缩写，中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。经过十年的发展，目前世界上有超过60个国家提供了IRC的服务，IRC的工作原理非常简单，您只要在自己的PC上运行客户端软件，然后通过因特网以IRC协议连接到一台IRC服务器上即可。这个时候，就可以通过irc聊天，它的特点是速度非常之快，聊天时几乎没有延迟现象，并且只占用很小的带宽资源，使得速度更快。所有用户可以在一个被称为"Channel"（频道）的地方就某一话题进行交谈或密谈。每个IRC的使用者都有一个Nickname（昵称），用来区分不同用户。

默认情况下，irc服务器运行在6667端口。

（2）僵尸网络是什么？僵尸网络通常用于什么？僵尸网络 Botnet 是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序）病毒，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。僵尸网络最常见的两种用途是发送垃圾邮件活动，并进行分布式拒绝服务（ DDoS攻击 ）。

（3）蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？

在kali中运行botnet_pcap_file.dat,设置筛选条件ip.src == 172.16.134.191 && tcp.dstport == 6667 && tcp.flags == 0x2

通讯目标为：209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10、209.196.44.172

（4）在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？

安装tcpflow（sudo apt install tcpflow）导出209.196.44.172所有包信息

查看内容

发现访问的目标网址

使用grep进行字符串查找

cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ://g" | tr ' ' '\n' | tr -d "\r" | grep -v "^$" | sort -u | wc -l

匹配目标“irc5.aol.com 353”，去重并获取行数（LC_COLLATE ）

共有3457个主机访问过以209.196.44.172为服务器的僵尸网络。

（5）哪些IP地址被用于攻击蜜罐主机？将所有的IP地址输出到txt文件中

tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > botnet.txt;wc -l botnet.txt

共有165个IP用于攻击

（6）攻击者尝试攻击了那些安全漏洞？使用Wireshark抓包分析

可以看到主要传输的为TCP协议包，也使用了部分UDP包筛选出响应TCP的端口

筛选135端口的包

只进行了连接

筛选139端口的包

没有特殊操作

筛选25端口的包

只进行了连接

筛选端口为445的包

admdll是一种远程监控软件

进行了文件共享操作

出现了psexesvc.exePSEXESVE.EXE,是一种蠕虫。

根据这个包的发送IP，筛选IP为61.111.101.78的包

tcp.srcport == 445 && ip.src == 172.16.134.191

每个连接都有响应，并且出现了\PIPE\ntsvcs，攻击成功。

筛选4899端口的包

4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能算是一个木马程序，但是具有远程控制功能。通常杀毒软件是无法查出它来的。

筛选80端口的包

出现了填充字符串“CCCCCC...”在进行BOF攻击

并且在尝试获取cmd.exe的权限

在进行注入蠕虫操作

尝试使用c32.exe文件进行漏洞攻击

查看80端口的外出包

说明以上针对80端口的攻击没有成功

（7）那些攻击成功了？是如何成功的？TCP 445端口 返回信息中含有\PIPE\ntsvcs 攻击成功

实验内容很多，需要自己去分析的内容更多，这次实验完全是边做边找边查才做下来的，如果没有同学和学长的实验报告做参考还是有很多东西没法完成的。对于代码的分析可以得到很多有用的信息，这点对于攻防两方都是同样重要的，一边是根据代码进行分析反击，一边是让代码没法被分析和信息伪装隐藏。用了很多新工具，这次试验也只是使用了工具的一小部分功能，但是使用工具的目的是帮助学习知识，单纯的使用工具得到信息并不是主要目的，实践积累知识才是重头戏。