20232937文兆宇 2023-2024-2 《网络攻防实践》实践八报告

20232937文兆宇 2023-2024-2 《网络攻防实践》实践八报告

1.实践内容

动手实践任务一
对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者,具体操作如下:

(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理;
(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?

动手实践任务二:分析Crackme程序

任务:在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe,寻找特定的输入,使其能够输出成功信息。

分析实践任务一:

分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:

1、提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息;

2、找出并解释这个二进制文件的目的;

3、识别并说明这个二进制文件所具有的不同特性;

4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术;

5、对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由;

6、给出过去已有的具有相似功能的其他工具;

7、可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?

分析实践任务二:

Windows 2000系统被攻破并加入僵尸网络

任务:分析的数据源是用Snort工具收集的蜜罐主机5天的网络数据源,并通过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中,同时IP地址和其他特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。回答下列问题:

1、IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?

2、僵尸网络是什么?僵尸网络通常用于什么?

3、蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?

4、在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?

5、那些IP地址被用于攻击蜜罐主机?

6、攻击者尝试攻击了那些安全漏洞?

7、那些攻击成功了?是如何成功的?

2.实践过程

动手实践一

首先进行查壳 发现是32位可执行程序,win平台,加壳用的是upx
在这里插入图片描述用脚本脱壳,发现修改了文件 防止一键脱壳
在这里插入图片描述
用010打开 发现修改了三个参数,只需要把JDR0改为UPX0 JDR1改为UPX1 JDR!改为UPX!即可

在这里插入图片描述
脚本一键脱

upx -d RaDa.exe

在这里插入图片描述ida打开查找字符串,发现作者名字
在这里插入图片描述

动手实践二

crackme1

ida打开 命令行传参 内容为 “I know the secret”
在这里插入图片描述运行一下 发现成功
在这里插入图片描述

crackme2

和crackme1类似,先比较自己的名字是不是crackmeplease,然后判断key是否一样,成功的话,打印一堆异或的数据
在这里插入图片描述这里直接改名 然后输入key 看看输出什么
在这里插入图片描述
输出了 Chocolate

分析实践一

用小辣椒查看一下基本信息
MD5:

CAAA6985A43225A0B3ADD54F44A0D4C7

在这里插入图片描述行为分析丢微步沙箱直接看 也可以用火绒剑慢慢看
文件操作:在c盘下保留备份
在这里插入图片描述
在这里插入图片描述
注册表:修改注册表进行自启动
在这里插入图片描述网络行为:有ddos攻击,涉及IP10.10.10.10 在目录下获取命令进行攻击
在这里插入图片描述

在这里插入图片描述

防止分析的技术包括加壳防止逆向分析,利用网站进行攻击,防止溯源,以及防止泄露攻击指令和信息,可以随时切断连接,保护自己。
留下后门,并且自启动是木马
在这里插入图片描述
大部分木马病毒都是通过frp 反弹shell进行攻击。如:Bobax
二进制文件的作者实践一已经分析过了:Raul Siles && David Perez

分析实践二

IRC是什么:

因特网中继聊天(Internet Relay Chat),一般称为互联网中继聊天,简称:IRC。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。经过十年的发展,世界上有超过60个国家提供了IRC的服务。IRC的工作原理非常简单,您只要在自己的PC上运行客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器上即可。它的特点是速度非常之快,聊天时几乎没有延迟的现象,并且只占用很小的带宽资源。所有用户可以在一个被称为\Channel\(频道)的地方就某一话题进行交谈或密谈。每个IRC的使用者都有一个Nickname(昵称)。

申请加入网络时要发生昵称 口令和用户信息
使用端口:6667端口(明文传输)、6697端口(SSL加密)
僵尸网络是什么以及它的作用:

僵尸网络(Botnet)是一种网络安全威胁,指的是攻击者通过传播僵尸程序(bot程序)病毒,感染并控制互联网上的大量主机,从而形成的一个可一对多控制的网络。这些被感染的主机,也被称为僵尸计算机,可以通过一个控制信道接收攻击者的指令,从而执行各种恶意行为,如发送垃圾邮件、发起分布式拒绝服务攻击(DDoS)、盗窃数据、传播恶意软件、制造虚假点击率、进行加密货币挖矿等。僵尸网络的形成通常涉及多种传播方式,如主动漏洞攻击、邮件病毒等。僵尸网络之所以被称为“僵尸网络”,是因为感染的计算机在不知不觉中被控制,类似于中国古老传说中的僵尸群被驱赶和指挥,成为被人利用的工具。僵尸网络的规模和复杂性使其成为一种严重的网络安全威胁,对个人、企业和政府机构构成严重威胁。

蜜罐主机(172.16.134.191)的通信流量 用wireshark打开,并过滤6667和6697端口,查看相关流量

ip.src == 172.16.134.191 && tcp.dstport == 6667 || tcp.dstport == 6697

在这里插入图片描述通信ip经过上述过滤如下,发现下面这五个ip服务器与蜜罐主机进行了通信
在这里插入图片描述查看多少不同的主机访问了209.196.44.172的服务器,首先打开kali,用工具进行分流过滤

tcpflow -r botnet_pcap_file.dat 'host 209.196.44.172 and port 6667'

在这里插入图片描述找到对应的文件,输入命令查看不同主机的访问数量,发现数量为3462个

cat 209.196.044.172.06667-172.016.134.191.01152 | grep --text "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ://g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l

在这里插入图片描述继续查看哪些ip地址被用于攻击蜜罐主机

tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > ipaddr.txt;wc -l ipaddr.tx

在这里插入图片描述继续分析攻击者攻击了哪些漏洞
首先查看有哪些端口被攻击了

tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq
tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq

在这里插入图片描述TCP:135,139,25,445,4899,80
UDP:137
对于137端口 用wireshark查看,拿到了一些用户信息

udp.dstport == 137 && ip.dst == 172.16.134.191

在这里插入图片描述对于135和25端口,发现什么也没干

(tcp.dstport == 135 || tcp.dstport == 25)&& ip.dst == 172.16.134.191

在这里插入图片描述对于80端口,尝试了缓冲区溢出攻击

tcp.dstport==80 && ip.dst == 172.16.134.191

在这里插入图片描述对于139端口,没有发现什么有用的信息

tcp.dstport==139 && ip.dst == 172.16.134.191

对于445端口,可以发现有大量的数据,并且植入了PSEXESVC.EXE,用来进行远程连接,并且通过观察,发现建立成功,证明攻击者通过445端口渗透成功。

tcp.dstport==445 && ip.dst == 172.16.134.191

在这里插入图片描述
对于4899端口,该端口用来控制蜜罐主机

tcp.dstport==4899 && ip.dst == 172.16.134.191

在这里插入图片描述
在这里插入图片描述

3.学习中遇到的问题及解决

  • 问题1:靶机链接不上桥接网络
  • 问题1解决方案:重新配置该虚拟机的ip地址,并重启,可以成功连接到网络

4.实践总结

通过本次实验我学习了很多恶意软件检测的知识,可以利用ida来分析软件病毒,还可以通过各种小工具检测病毒的情况,同时还了解了wireshar的使用,在用wireshark分析病毒过程时,可以更进一步的学习整个病毒的流程,对我来说很有帮助。

参考资料

  • 《Java程序设计与数据结构教程(第二版)》
  • 《Java程序设计与数据结构教程(第二版)》学习指导

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/591957.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

Deep Learning Part Eight--Attention 24.5.4

01.在翻译、语音识别等将一个时序数据转换为另一个时序数据的任务中,时序数据之间常常存在对应关系 02.Attention 从数据中学习两个时序数据之间的对应关系 03.Attention 使用向量内积(方 法之一)计算向量之间的相似度,并输出这个…

【C++题解】1658. 游乐设施

问题:1658. 游乐设施 类型:分支结构 题目描述: 游乐场引进了一个新的游乐设施,可以两人一组开动该设施,但设施设计上有一个缺陷,必须一个人的体重在 60 公斤以上(包含 60 公斤)&am…

CST保存项目时失败?如何解决?

🏆本文收录于「Bug调优」专栏,主要记录项目实战过程中的Bug之前因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&…

AI智能名片商城小程序构建企业级私域的IMC模型:IP、MarTech与Content的深度融合

在数字化营销的新时代,为企业定制开发的AI智能名片B2B2C商城小程序,结合我们丰富的私域运营实践,我们深刻领悟到构建企业级私域的三大核心要素:IP(企业人设)、MarTech(营销技术)和Co…

飞机起飞降落

第一版:飞机起飞降落脚本 最大速度是1200,螺旋桨速度到1000的时候飞机会上升,到850的时候会下降, 有上升状态,平飞状态和悬浮状态,三个状态按e都可以使螺旋桨减速然后下降 但是是匀速下降,并且…

对命令模式的理解

目录 一、场景1、文本编辑器并不是一个好的例子,设备控制器才是2、设备控制器的demo 二、不用命令模式1、代码2、问题 三、使用命令模式1、代码2、当需求变化时2.1 新增代码2.2 优点 四、进一步思考1、省略对Command的建模可以吗?2、命令模式的价值 一、…

wpf转换器

WPF(Windows Presentation Foundation)中的转换器主要是指IValueConverter接口的实现,它用于在数据绑定过程中转换源数据和目标数据的类型或表示形式。这种机制使得开发者能够灵活地处理数据,特别是在用户界面(UI&…

知识图谱需求

文章目录 公共安全数字经济金融科技资源优化科学研究制造业转型公共健康人文发展 公共安全 公共安全领域信息化以现代通信、网络、数据库技术为基础,将所研究对象各要素汇总至数据库,并针对各个业务领域进行定制化开发,以满足公共安全实战需求…

吴恩达机器学习笔记 三十七 电影推荐系统 使用特征 成本函数 协同过滤算法

以电影评分系统为例,令 r(i, j) 来表示用户 j 已经对电影 i 评分, y(i, j)表示评分具体是多少。 假如每部电影有自己的特征,那么用户 j 对电影 i 的评分预测为 w(j) * x(i) b(j) r(i, j) :一个用户 j 是否…

P9422 [蓝桥杯 2023 国 B] 合并数列

P9422 [蓝桥杯 2023 国 B] 合并数列 - 洛谷 | 计算机科学教育新生态 (luogu.com.cn) 用队列即可 当两个队列队首&#xff1a;a b &#xff0c;弹出 当a < b&#xff0c;把a加给其后一个元素&#xff0c;弹出a 当b < a&#xff0c;把b加给其后一个元素&#xff0c;弹出…

BUUCTF---misc---菜刀666

1、下载附件&#xff0c;在wireshark中分析 2、题目说是菜刀&#xff0c;联想到http协议的post方法 3、使用命令过滤 http.request.methodPOST 4、打开数据包&#xff0c;发现有个不一样 这里面有一大串的数据包 5、追踪http数据流&#xff0c;发现z2后面是一个jpg文件的文件…

计算机——磁盘

磁盘介绍 磁盘&#xff08;Disk&#xff09;是计算机存储设备的一种&#xff0c;用于持久存储和读取数据。它以圆盘状的物理结构为基础&#xff0c;通过磁性材料在盘片上制造磁道和磁点&#xff0c;利用磁头来读写数据。 磁盘分类 磁盘的常见类型包括硬盘驱动器&#xff08;…

数据库基础--MySQL多表查询之联表查询

联表查询 定义&#xff1a;多张表联合在一起查询&#xff0c;例如学生信息与学生班级表、部门与员工表 创建两张表&#xff0c;主表与从表 CREATE TABLE TestMain(id INT Not NULL AUTO_INCREMENT,nameVARCHAR(10),introduction VARCHAR(255),PRIMARY KEY(id) ); CREATE TAB…

商超物联网方案-Hotspot Service和客流分析方案概述

商超物联网方案-Hotspot Service和客流分析方案概述 场景概述 大型商场、大型综合体在相互竞争及线上消费的影响下&#xff0c;利润增长缓慢&#xff0c;迫切需要通过提供个性化服务提升顾客购物体验&#xff0c;促进利润增长。 向不同顾客推送其感兴趣的广告&#xff0c;不仅…

opengauss概述-基础知识篇-备考华为高斯

目录 &#x1f9e8;考前准备: &#x1f3a1;数据库操作语言 ✨OLTP和OLAP &#x1f3af;常用函数 &#x1f9f2;字符处理函数 关于 left 和 right 特别重点的字符串函数 &#x1f9f2;数字操作函数 关于 ceil 和 floor &#x1f9f2;时间和日期处理函数 &#x1f9f…

自定义类型:联合体

1.联合体 首先我们还是要讲解一下什么是联合体&#xff1a; 联合体&#xff08;Union&#xff09;是一种特殊的数据结构&#xff0c;它允许在相同的内存位置存储不同的数据类型。联合体的大小等于其最大成员的大小&#xff0c;因为所有成员共享同一块内存空间。联合体的每个成…

【C语言】详解预处理

、 最好的时光&#xff0c;在路上;最好的生活&#xff0c;在别处。独自上路去看看这个世界&#xff0c;你终将与最好的自己相遇。&#x1f493;&#x1f493;&#x1f493; 目录 •✨说在前面 &#x1f34b;预定义符号 &#x1f34b; #define • &#x1f330;1.#define定义常…

Oracle对空值(NULL)的 聚合函数 排序

除count之外sum、avg、max、min都为null&#xff0c;count为0 Null 不支持加减乘除&#xff0c;大小比较&#xff0c;相等比较&#xff0c;否则只能为空&#xff1b;只能用‘is [not] null’来进行判断&#xff1b; Max等聚合函数会自动“过滤null” null排序默认最大&#xf…

【STL】map和set的原理及其使用

文章目录 关联容器键值对setset的介绍set的使用set的构造函数声明1&#xff1a;函数声明2&#xff1a;函数声明3&#xff1a; set的迭代器begin和endrbegin和rend set的容量empty()size&#xff08;&#xff09; set的修改操作inserteraseclearfindcount mapmap的介绍map的构造…

拼多多怎么推广才有效果

拼多多店铺的有效推广需要综合考虑多个方面&#xff0c;包括优化店铺信息、商品详情、参与平台活动、利用社交媒体、精准营销和客户服务等。具体如下&#xff1a; 拼多多推广可以使用3an推客。3an推客&#xff08;CPS模式&#xff09;给商家提供的营销工具&#xff0c;由商家自…