20232302 2025-2026-1《网络与系统攻防技术》实验四实验报告

1、实验内容

1.1恶意代码文件类型标识、脱壳与字符串提取

对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下:
（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；
（2）使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；
（3）使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？

1.2使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe，寻找特定输入，使其能够输出成功信息。

1.3分析一个自制恶意代码样本rada，并撰写报告，回答以下问题：

（1）提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；
（2）找出并解释这个二进制文件的目的；
（3）识别并说明这个二进制文件所具有的不同特性；
（4）识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；
（5）对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；
（6）给出过去已有的具有相似功能的其他工具；
（7）可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？
（8）给出至少5种检测该恶意软件的方法，例如基于特征码的方法，需要详细介绍每种方法。

1.4取证分析实践

Windows 2000系统被攻破并加入僵尸网络
问题： 数据源是Snort收集的蜜罐主机5天的网络数据源，并去除了一些不相关的流量，同时IP地址和其他敏感信息被混淆。回答下列问题：
（1）IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？
（2）僵尸网络是什么？僵尸网络通常用于什么？
（3）蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？
（4）在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？
（5）哪些IP地址被用于攻击蜜罐主机？
（6）攻击者尝试攻击了那些安全漏洞？
（7）那些攻击成功了？是如何成功的？

2、实验目的

通过实践操作提高对恶意代码分析、逆向工程、取证分析和网络安全威胁识别的能力。

3、实验环境

kali Linux虚拟机、主机版本Windows11

4.实验过程与分析

4.1恶意代码文件类型标识、脱壳与字符串提取

4.1.1使用有关工具分析rada恶意代码样本的类型和特征

首先，在Kali虚拟机的网页中打开学习通，并下载好RaDa

接着使用file命令对RaDa.exe进行初步分析，识别其文件格式和运行平台。

file RaDa.exe

结果显示这里的样本RaDa.exe是32位基于Windows的可执行文件，针对x86处理器，内部有三个段

通过strings查看其内部数据

然后在主机端下载该文件并用学习通里的PEid软件对给定RaDa.exe进行分析

 如图所示该文件进行了UPX加压缩壳操作，版本号为0.89.6到1.02之间，作者是Markus & Laszlo

4.1.2使用脱壳软件，对rada恶意代码样本进行脱壳处理并使用IDA对脱壳后的文件分析

使用学习通的脱壳软件对RaDa.exe进行脱壳处理

 如图所示成功脱壳

继续使用学习通的IDA Pro软件对脱壳后的程序进行逆向分析

选择文件

选择PE Executable

 如下图所示，我们可以得到编写作者为Raul Siles &&David Perez；编写日期为2004年9月

4.2使用IDA Pro静态或动态分析要求的两个恶意软件

4.2.1静态分析crackme1.exe

 先从学习通里下好对应文件至主机端，接着在终端打开它

 如图所示，接连打开并添加参数后都未成功

 选择用IDA Pro打开该文件

选择View->Graphs->Function calls查看函数调用图

 接着我们从调用图中可以看出函数sub_401280调用了如fprint、print等函数，这些函数多用于字符串输入输出，因此sub_401280函数中可能存在我们需要的参数信息

那么我们接下就打开Windows->Functions window查看函数管理工具，双击sub_401280查看函数具体的调用图

 我们同观察上图可以得出该函数会将传入的参数与已知字符串”I know the secret"进行比较，所以我们也在文件的后面加上试试

4.2.2静态分析crackme2.exe

重复上述过程查看crackme2.exe的函数调用图

 如图可见和1相似，那么我们直接找到函数sub_401280查看函数流程图

 通过对两张图的分析可得除上面的在文件后增加文字外，该程序还会将第一个参数与“crackmeplease.exe”进行比较，所以我们就将文件名进行更改后重新试一遍

 成功！

4.3恶意代码样本rada并撰写报告

4.3.1分析rada基本信息

我们输入如下代码对RaDa文件的信息进行分析

md5sum RaDa.exe

exiftool RaDa.exe | grep "Time Stamp

如图可得

文件类型：32位Windows GUI程序，针对X86，有三个字段

md5摘要值：caaa6985a43225a0b3add54f44a0d4c7

时间戳信息：2004:10:30 07:59:58+08:00

4.3.2分析rada目的

使用IDA Pro分析脱壳后的RaDa_unpacked.exe文件，并打开函数调用图

 如图，我们接下来进行详细分析：

指令mov edx, offset aHttp10_10_10_1 ; "http://10.10.10.10/RaDa"将硬编码的URL地址加载至EDX寄存器这是样本与攻击者进行通信的命令与控制（C&C）服务器地址。IP地址10.10.10.10属于私有地址空间，表明攻击者可能位于同一内部网络，或该地址是一个中转代理。所有后续的指令获取和数据回传都将与此端点建立HTTP连接。

 指令mov edx, offset aRada_commands_ ; "RaDa_commands.html"


mov edx, offset aCgiBin ; "cgi-bin"

mov edx, offset aDownload_cgi ; "download.cgi"

mov edx, offset aUpload_cgi ; "upload.cgi"

该指令序列通过多次字符串操作，配置了与C&C服务器交互的完整路径。

RaDa_commands.html:攻击者下发的指令列表页面，样本通过定期访问此页面获取新的攻击指令。

cgi-bin/:指向服务器上存放CGI脚本的目录，表明交互基于HTTP协议，并利用Web服务器功能处理动态请求。

download.cgi:用于从C&C服务器下载额外的恶意模块或更新自身版本的脚本。

upload.cgi:用于将窃取的敏感数据（如文档、键盘记录、屏幕截图）回传至攻击者服务器的脚本。

 

指令 mov edx, offset aCRadaTmp ; "C:\\RaDa\\tmp"

此指令设置了本地持久化的工作目录。样本会在C:\RaDa\tmp目录下存放其下载的恶意模块、临时文件以及从受害者主机窃取的数据（等待通过upload.cgi上传）。此操作是文件系统持久化的关键步骤，确保了恶意活动产生的数据能够被可靠地暂存和管理。

指令offset aSoftwareMicros ; "Software\\Microsoft\\Windows\\CurrentVersion"

该指令操作注册表路径HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run这是Windows系统标准的自启动项位置。通过在此处添加一个指向其自身副本（通常位于C:\RaDa\bin\RaDa.exe）的键值，样本实现了开机自启动，确保持久化驻留，即使系统重启也能保持活性。

 

指令mov edx, offset aCRadaBin ; "C:\\RaDa\\bin"

此指令定义了样本将自身复制到的隐藏目录。通常，样本会将其副本放置在`C:\RaDa\bin目录下，并将其设置为隐藏属性，以避免被用户轻易发现。随后，该路径被用于配置注册表自启动项，完成从执行到驻留的完整链条。

 最后运行它发现仍无法运行

 

4.3.3提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；

通过对RaDa恶意代码样本的全面分析，我们获取了以下关键识别信息：

MD5哈希值：caaa6985a43225a0b3add54f44a0d4c7

文件类型：PE32可执行文件，专为Microsoft Windows平台设计

处理器架构：Intel i386 32位架构

界面类型：图形用户界面（GUI）应用程序

时间戳：2004年10月29日编译

节区数量：3个节区，结构相对简洁 

4.3.4找出并解释这个二进制文件的目的；

经过逆向工程分析，确定RaDa是一个功能完整的远程控制后门程序。其核心目的包括： 持久化潜伏机制：

在系统目录创建专用工作文件夹（C:\RaDa\bin和C:\RaDa\tmp）

通过注册表自启动项实现开机自动运行

建立隐蔽的驻留环境为后续攻击做准备

远程命令与控制：

连接硬编码的C&C服务器（http://10.10.10.10/RaDa）

通过HTTP协议进行双向通信

支持动态指令接收和任务执行

多功能攻击平台：

数据窃取与回传能力

参与分布式拒绝服务攻击（DDoS）

为攻击跳板机使用

4.3.5识别并说明这个二进制文件所具有的不同特性；

该恶意代码具有以下显著特性：

技术架构特性：

采用32位Intel x86架构，兼容性广泛

使用UPX压缩壳进行代码保护

基于VBA语言编译，具有一定隐蔽性

恶意行为特性：

持久化特性：通过注册表修改实现开机自启动

模块化特性：支持动态下载和执行额外恶意载荷

网络化特性：与固定C&C服务器保持通信链路

隐蔽性特性：创建工作目录并隐藏自身活动痕迹

4.3.6识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；

RaDa样本采用了多层次的反分析技术： 加壳保护技术：

使用UPX压缩壳，通过修改程序重定位表干扰调试器分析

压缩原始代码段，增加静态分析的难度

劫持程序入口点，阻碍直接代码审计

代码混淆技术：

插入无实际功能的花指令（如冗余算术操作）

使用call+ret指令组合破坏代码块边界识别

采用字符串分段存储和动态拼接方式

4.3.7对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；

基于行为特征分析，将RaDa归类为后门程序（Backdoor），理由如下： 排除病毒特征：不具备自我复制和传播能力，不符合病毒定义 排除蠕虫特征：无主动网络传播机制，需要人工干预执行 符合后门特征：

建立隐蔽的远程访问通道

提供长期未授权访问功能

需要外部指令触发恶意行为

注重持久化驻留而非快速传播

4.3.8给出过去已有的具有相似功能的其他工具；

历史上具有类似功能的恶意工具包括： 经典后门工具：

灰鸽子（BackDoor.Hupigon）：国产远程控制木马，具有图形化控制端

Back Orifice：早期著名的Windows后门程序，开创了GUI控制端先河

冰河：国内早期流行的远程控制软件，后被恶意利用

现代攻击框架：

msfvenom：Metasploit框架中的载荷生成器

Veil-Evasion：专用于生成免杀恶意载荷的工具

Cobalt Strike：商业渗透测试工具，常被攻击者滥用 

4.3.9可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？

作者身份确认：通过字符串分析发现作者为Raul Siles & David Perez 溯源条件要求：

脱壳预处理：必须首先去除UPX压缩壳，否则字符串信息不可读

开发环境痕迹：依赖开发者在编译时未清除调试和版权信息

分析工具支持：需要IDA Pro等专业逆向工具进行深度分析

信息完整性：要求作者在代码中保留了标识信息

4.3.10出至少5种检测该恶意软件的方法，例如基于特征码的方法，需要详细介绍每种方法。

方法一：基于特征码的检测

原理：提取恶意软件的独特二进制模式或字符串特征，与病毒库进行比对 实施步骤：

提取样本的哈希值（MD5/SHA1/SHA256）

识别特征字符串（如C&C地址、特定API调用序列）

与威胁情报数据库进行匹配 优势：资源消耗低，对已知威胁检测效率高 局限：无法检测未知变种或经过混淆的样本

方法二：基于行为分析的检测

原理：监控程序的运行时行为，识别恶意操作模式 关键技术：

监控文件系统操作（创建、修改、删除）

跟踪注册表修改行为

检测进程注入和权限提升尝试 工具支持：Process Monitor、Process Explorer、Sysmon 优势：能够发现未知威胁和零日攻击

方法三：基于网络流量的检测

原理：分析网络通信特征，识别恶意网络活动 检测重点：

异常外联连接（如内部IP访问外部C&C）

通信协议异常（非标准端口使用、协议违规）

数据传输模式（心跳包、数据渗漏特征） 工具支持：Wireshark、Zeek、Suricata 优势：不受样本加壳或混淆影响

方法四：基于沙箱的动态分析

原理：在隔离环境中执行样本，观察其完整行为链 分析维度：

文件系统操作轨迹

注册表修改记录

网络通信行为

进程创建和终止关系 平台示例：Cuckoo Sandbox、Any.run、Hybrid Analysis 优势：提供完整的攻击行为视图

方法五：基于内存分析的检测

原理：分析运行时的内存状态，发现隐藏的恶意组件 技术要点：

检测进程内存中的恶意代码注入

识别API钩子和rootkit技术

分析网络连接的真实进程来源 工具支持：Volatility、Rekall、内存取证工具 优势：能够发现高级持久化威胁

4.4取证分析实践

4.4.1IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？

IRC基本概念： IRC（Internet Relay Chat）是一种应用层文本通信协议，采用客户端-服务器架构，支持多用户实时聊天。在网络安全领域，IRC常被僵尸网络用作命令与控制（C&C）信道。 连接注册过程： 当IRC客户端加入网络时，发送的核心消息序列包括： 

4.4.2僵尸网络是什么？僵尸网络通常用于什么？

僵尸网络定义： 僵尸网络是由攻击者（Botmaster）通过恶意软件控制的分布式计算机网络，受控设备称为"僵尸"或"肉鸡"。 主要恶意用途： 分布式拒绝服务攻击（DDoS）：SYN Flood、UDP Flood等流量攻击应用层DDoS攻击（HTTP Flood、DNS查询攻击）资源耗尽型攻击，消耗目标计算资源

4.4.3蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？

蜜罐主机与IP地址为209.126.161.29、66.33.65.58、63.241.174.144、217.199.175.10的IRC服务器进行了通信。

使用wireshark打开botnet_pcap_file.dat文件并设置过滤命令为ip.src == 172.16.134.191 && tcp.dstport == 6667和ip.src == 172.16.134.191 && tcp.dstport == 6697查看信息。

4.4.4在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？

有3461个

首先在虚拟机端下载，先使用sudo apt update进行更新sudo apt updatesudo apt update

接着使用代码sudo apt-get install tcpflow进行下载

 再用tcpflow --version查看版本，确认安装成功

 我们接下来使用命令tcpflow -r '/var/run/vmblock-fuse/blockdir/V9RUnD/botnet_pcap_file.dat' "host 209.196.44.172 and port 6667"，使用tcpflow从botnet_pcap_file.dat文件中，筛选出与IP为209.196.44.172且端口为6667的主机相关的所有TCP流量数据，再用ls查看确认

 最后使用cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ：//g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l，统计访问僵尸网络服务器的不同客户端数量。 

 如图所示有3461个

4.4.5哪些IP地址被用于攻击蜜罐主机？

有165个使用tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 20232302.txt;wc -l 20232302.txt查看

 如图所示共165个

4.4.6攻击者尝试攻击了那些安全漏洞？

打开Wireshark，打开botnet_pcap_file.dat文件，选择点Statistics→Protocol Hierarchy，分析网络流量中各种协议的分布情况和层次结构

 如图所示，攻击者有99.71%使用TCP数据包占了大部分，剩下的使用UDP占少量

 接着在虚拟机段使用cpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq命令筛选TCP端口号，并使用tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq命令筛选UDP端口号

 如图所示TCP：135、139、25、445、4899、80

UDP：137

4.4.7那些攻击成功了？是如何成功的？

TCP：445端口、4899端口、80端口成功

 我们再次打开wireshake，打开botnet_pcap_file.dat文件，根据上述所得端口号，在抓包进行筛选

UDP：137端口

攻击状态：失败

如图所示虽然具有大量的NetBIOS服务扫描活动，但数据包内容均为正常的名称查询与响应，未包含任何攻击载荷。

TCP：端口135

攻击状态：失败

如图所示攻击者在TCP三次握手过程中异常终止连接，发送[FIN, ACK]包主动断开。

TCP：端口139

攻击状态：失败

 如图所示目标主机对连接尝试主动发送RST复位包，表现出强烈的防御反应

TCP：端口25

攻击状态：失败

 如图所示观察到建立连接后快速断开的行为模式，伴随大量TCP重传

TCP：端口445

攻击状态：成功

 如图所示这是本次分析中最严重的成功入侵案例，攻击者实现了多层次渗透成功完成NTLMSSP认证协商，建立有效的SMB会话连接，获得文件系统访问权限

Tree Connect请求访问：\\PC0191\c

DCERPC Bind操作：建立RPC通信通道

SAMR协议调用：枚举域用户和组信息

后续攻击者成功删除关键系统文件C:\System32\PSEXESVC.EXE，该文件是PsExec工具的服务组件

TCP：端口4899

攻击状态：成功

 如图所示攻击者通过该端口建立了稳定的远程控制通道持久化通信：大量[PSH, ACK]数据包表明持续的数据交换，建立可靠的命令与控制信道，可能用于实时远程操作；HEAD /cgi/../../../../../winnt/system32/cmd.exe?/c+dir此攻击试图通过路径遍历执行系统命令，属于典型的Web服务漏洞利用。

 TCP：端口80

攻击状态：成功

 

击者通过HTTP服务实现了多种攻击向量缓冲区溢出攻击：发送包含大量字符"c"的异常请求，尝试触发Web服务的内存处理漏洞，属于经典的缓冲区溢出攻击模式；攻击后维持正常HTTP通信，表明：可能已成功植入Web Shell或后门，攻击者保持对服务的访问权限，能够持续控制或监控Web应用

5.问题及解决

问题1：在原来的终端重新打开重命名过的文件得到的结果不对

 解决：不能继续在power shell中打开，要使用cmd打开，并且代码也要稍作更改

 问题2：在使用tcpflow 查看访问过服务器的僵尸网络时出现了错误

 解决：可以通过报错得知，是代码的格式有问题，应该使用完整的BPF语法

6.心得体会

 通过本次系统的恶意代码分析实验，我成功构建了从静态逆向到动态行为的完整分析能力体系。在技术层面，掌握了使用PEiD进行加壳检测、超级巡警脱壳机进行代码还原、以及IDA Pro进行深度逆向分析的全流程方法，特别是在分析RaDa样本时，通过字符串提取技术成功定位到关键作者信息"Raul Siles & David Perez"，并利用函数调用图精准识别出C&C服务器地址http://10.10.10.10/RaDa等核心恶意特征。在工具协同方面，形成了多维度验证的分析思维——当静态分析发现注册表自启动项HKLM\Software\Microsoft\Windows\CurrentVersion\Run的持久化机制时，能立即通过Wireshark流量分析验证其网络行为，这种立体化分析方式在破解crackme程序时尤为显著，通过参数校验逻辑反推与行为监控相结合，快速定位到关键输入验证函数。更深入的是，在取证分析阶段通过tcpflow重组TCP会话，成功从海量流量中识别出僵尸网络的IRC控制信道（端口6667/6697）和成功的SMB攻击（端口445），这种将代码级分析与网络行为关联的能力，让我深刻体会到现代网络安全防御需要建立从代码指令到网络包的全链路认知，而实验过程中遇到的函数逻辑复杂性问题，正是通过交叉验证静态分析结果与动态行为日志才得以突破，这种发现问题、解决问题的实践经历，为后续应对实时威胁检测和应急响应奠定了坚实基础。