• Welcome to the world's largest Chinese hacker forum

    Welcome to the world's largest Chinese hacker forum, our forum registration is open! You can now register for technical communication with us, this is a free and open to the world of the BBS, we founded the purpose for the study of network security, please don't release business of black/grey, or on the BBS posts, to seek help hacker if violations, we will permanently frozen your IP and account, thank you for your cooperation. Hacker attack and defense cracking or network Security

    business please click here: Creation Security  From CNHACKTEAM

202111911 2021-2022-2 《网络攻防实践》实践报告8


Recommended Posts

1.实践内容

2.实践过程

动手实践任务一

对提供的rada恶意代码样本进行文件类型识别、脱壳和字符串提取,获得rada恶意代码的作者。具体操作如下:

(1)利用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和shell工具;

(2)利用超级巡逻脱壳器等脱壳软件对rada恶意代码样本进行脱壳;

(3)使用字符串提取工具,分析带壳的rada恶意代码样本,找出rada恶意代码的作者是谁?

1.使用Windows xp攻击虚拟机并使用命令文件RaDa.exe检查文件类型,我们可以知道这是一个带有图形窗口的32位pe文件。

meycq13hlzf4172.png

2.使用PEiD工具(从网页下载v0.95版)检查shell的类型。您可以看到PEiD显示了版本为0.89.6的UPX shell。

knc3k5xty3w4173.png

3.然后,使用命令字符串RaDa.exe,我们可以发现显示的代码是乱码,所以我们需要做一个shell操作。

onpl04akiv14174.png

4.接下来完成脱壳操作,使用Windowsxp自带的超级巡逻的虚拟机自动脱壳器v1.3软件进行脱壳。

这里也认出是0.89.6版本的UPX shell,移除后输出为RaDa_unpacked.exe。

h044fzzhcr44175.png

5.打开IDA Pro免费,脱壳后选择文件RaDa_unpacked.exe,就可以得到作者的资料DataRescue sa/nv和邮箱。

a232qk0rck04176.png

动手实践任务二:分析Crackme程序

任务:在WinXP攻击者虚拟机中使用IDA Pro对crackme1.exe和crackme2.exe进行静态或动态分析,找到具体的输入,使其输出成功信息。

1.首先分析了crackme1.exe,crackme1.exe是在cmd下执行的,发现了不同的反应。

heaavdkd1qs4177.png

2.使用IDA Pro打开crackme1.exe。在字符串窗口中,你可以看到我们上面得到的两个反馈。

pfrmrxbs1pf4178.png

3.接下来在view中打开函数调用,可以看到sub_401280函数下的输出,所以重点关注这个函数。

fkt3y4xsoph4179.png

u4qkvqdcqgl4180.png

4.或者打开视图中的流程c

hart,可以找到sub_401280函数,放大后看汇编代码
fkt3y4xsoph4179.png
0z3mhl3mrhp4181.png
lq2qgit2hwk4182.png
5.可以看到cmp指令是比较,jmp指令是跳转,如果是FALSE则返回“I THINK U ARE MISSING SOMETHING”,如果是TRUE则接着判断
rgqs0wptdyc4183.png
6.接着是strcmp指令与字符串"I KNOW THE SECRET"相比较,jz跳转。
如果是FALSE就返回"Pardon? What did you say?"如果正确则返回"You know how to speak to programs, Mr.。。。"
tdh2lejrynk4184.png
7.所以直接输入字符串"I KNOW THE SECRET"即可
1fhlsg22qbg4185.png
8.然后分析crackme2.exe,直接尝试上一个输入,发现不得行
o2twane0nzx4186.png
9.同样使用IDA Pro打开crackme2.exe,在string窗口中可以看到有反馈是上面我们得到的
jmvz0mrxj4n4187.png
10.接下来还是在view中打开Function Call,可以看到sub_401280函数下的输出,所以还是重点关注该函数
fkt3y4xsoph4179.png
ukknohh4mrh4188.png
11.还是在view中打开flow chart,可以找到sub_401280函数,放大后看汇编代码
fkt3y4xsoph4179.png
1ljmdkt5msz4189.png
12.可以看到cmp指令是比较,jz指令是跳转,如果是FALSE则返回“I THINK U ARE MISSING SOMETHING”,如果是TRUE则接着判断
e2rjz54o0ez4190.png
13.接着是strcmp指令与程序名相比较,jz指令跳转。
xzee0sblfxg4191.png
如果是FALSE就返回"I HAVE AN IDENTITY PROBLEM"如果正确则返回"You know how to speak to programs, Mr.。。。"
zslhdo1cosf4192.png
Link to comment
Share on other sites