20252820 2025-2026-2 《网络攻防实践》实践八报告

20252820 2025-2026-2 《网络攻防实践》实践八报告

1. 实践内容

本次实践主要围绕恶意代码静态/动态分析、简单 Crackme 程序逆向分析以及僵尸网络流量分析展开。实验内容既包括对 RaDa 恶意代码样本的文件类型识别、加壳识别、脱壳处理和字符串提取,也包括在 WinXP Attacker 虚拟机中使用 IDA Pro 分析 crackme1.exe、crackme2.exe,寻找能够触发成功输出的特定输入。同时,还需要对自制恶意代码样本 RaDa 进行综合分析,说明其摘要信息、行为目的、恶意特征、反分析技术和样本分类;最后通过 Wireshark、tcpdump、tcpflow 等工具分析蜜罐主机 172.16.134.191 在一段时间内被攻破并加入僵尸网络的网络数据,回答 IRC、僵尸网络、IRC 服务器通信、攻击来源 IP、被攻击端口与成功攻击方式等问题。

通过本次实践,可以进一步熟悉恶意代码分析的基本流程:先判断文件类型和壳信息,再进行脱壳和字符串分析,必要时借助 IDA Pro、Process Explorer 等工具进行反汇编和行为观察;同时也能掌握从网络流量中定位攻击行为的方法,包括使用协议、端口、IP 地址和关键特征字符串进行过滤与证据提取。

2. 实践过程

2.1 动手实践任务一:RaDa 恶意代码文件类型识别、脱壳与字符串提取

2.1.1 实验要求

对提供的 RaDa 恶意代码样本进行文件类型识别、加壳识别、脱壳处理和字符串提取,最终从脱壳后的样本中找出 RaDa 恶意代码的编写作者。实验需要完成以下内容:

  1. 使用文件格式和类型识别工具,给出 RaDa 样本的文件格式、运行平台和加壳工具;
  2. 使用超级巡警脱壳机等工具,对 RaDa 样本进行脱壳处理;
  3. 使用字符串提取工具,对脱壳后的 RaDa 样本进行分析,找出编写作者。

2.1.2 实验环境与样本准备

本部分实验在 WinXP Attacker 虚拟机中完成。首先启动 WinXP Attacker 虚拟机,并使用实验环境提供的账号登录系统。随后从学习通或实验资料目录中获取 rada.rar,按照实验说明使用密码 rada 解压样本文件。由于 RaDa 属于恶意代码分析样本,解压和复制过程中可能会被杀毒软件拦截,因此应当在隔离虚拟机环境下完成实验,避免将样本复制到真实主机环境中运行。

将 RaDa 解压并复制到虚拟机

move_rada

2.1.3 文件格式与运行平台识别

在 WinXP Attacker 中打开命令行窗口,进入 RaDa 样本所在目录。可以先使用 file 命令识别文件类型:

cd 桌面
file RaDa.exe

根据识别结果,RaDa.exe 为 PE32 类型的 Windows 可执行文件,具有 GUI 程序特征,运行平台为 32 位 Windows,目标架构为 Intel 80386 系列。

使用 file 命令识别 RaDa.exe 文件类型

file_rada

接着使用 strings 命令初步提取字符串:

strings RaDa.exe

初次提取时可以看到大量难以直接理解的字符串,说明样本可能经过了加壳或压缩处理,直接提取原始文件字符串无法获得完整有效信息。

使用命令 strings RaDa.exe 初步字符串提取结果

strings_rada

2.1.4 加壳工具识别

为了判断 RaDa.exe 是否加壳,可以使用 PEiD 等 PE 文件识别工具打开 RaDa.exe。工具识别结果显示,该文件使用了 UPX 壳,具体识别信息可记录为:

UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo

这说明 RaDa.exe 经过 UPX 加壳处理,后续需要先脱壳,再进行更准确的字符串分析和静态分析。

利用 PEiD 识别 RaDa.exe 加壳信息

PEiD_rada

2.1.5 使用超级巡警脱壳机进行脱壳

打开超级巡警脱壳机,将 RaDa.exe 加载到工具中,选择自动脱壳或相应的脱壳功能。脱壳完成后,工具会生成一个新的可执行文件,例如 RaDa_unpacked.exe。该文件即为脱壳后的样本,可用于后续字符串提取和 IDA Pro 分析。

超级巡警脱壳机成功脱壳并生成 RaDa_unpacked.exe

unpack_rada

2.1.6 对脱壳后样本进行字符串分析

对脱壳后的样本执行字符串提取:

strings RaDa_unpacked.exe

相比加壳样本,脱壳后的字符串内容更加丰富,可以看到部分函数调用、路径、网络访问和程序说明信息。为了更完整地观察字符串,也可以使用 IDA Pro 打开 RaDa_unpacked.exe,进入 Strings 窗口,必要时调整字符串显示编码,例如将字符串显示设置为 Unicode。

使用 strings RaDa_unpacked.exe 提取结果

strings_unpackedrada1

使用 IDA Pro 打开 RaDa_unpacked.exe

ida_unpackedrada

使用 IDA Strings 窗口中调整字符串编码

strings_ida

change_encoding_to_unicode

after_change

在字符串中可以发现作者信息,RaDa 恶意代码的编写作者为:

Raul Siles & David Perez

在字符串中发现作者 Raul Siles & David Perez

name

这与使用 author 命令看到的作者一致

author_rada

2.1.7 总结

通过文件类型识别、PEiD 加壳检测、超级巡警脱壳和字符串提取,可以得到以下结论:

  1. RaDa.exe 是 PE32 类型的 Windows 可执行文件,运行平台为 32 位 Windows;
  2. 样本使用 UPX 加壳,识别信息为 UPX 0.89.6 - 1.02 / 1.05 - 2.90 -> Markus & Laszlo
  3. 脱壳后通过 strings 和 IDA Pro Strings 窗口可以发现作者信息;
  4. RaDa 恶意代码的编写作者为 Raul Siles & David Perez

2.2 动手实践任务二:分析 Crackme 程序

2.2.1 实验要求

在 WinXP Attacker 虚拟机中使用 IDA Pro 对 crackme1.execrackme2.exe 进行静态或动态分析,寻找特定输入,使程序能够输出成功提示信息。

2.2.2 样本准备与初步运行

crackme1.execrackme2.exe 复制到 WinXP Attacker 虚拟机中,打开命令行窗口,进入样本所在目录。首先直接运行程序,观察程序在缺少参数、参数错误以及随意输入参数时的输出信息。

crackme1.exe
crackme1.exe 1
crackme1.exe 1 2
crackme1.exe test

直接试探只能获得有限提示,无法准确判断成功输入,因此需要借助 IDA Pro 进行静态分析。

crackme1.exe 初步运行与参数试探

image

2.2.3 crackme1.exe 静态分析过程

使用 IDA Pro 打开 crackme1.exe,选择 PE Executable 文件类型进行分析。加载完成后,打开 Strings 窗口,查看程序中包含的字符串。可以发现程序中存在多条输出提示,其中既包括错误提示,也包括成功提示。

使用 IDA Pro 加载 crackme1.exe

open_ida
choose_PE
select_crackme1
ida_crackme1

打开 crackme1.exe Strings 窗口

find_replay

进一步通过函数调用图或交叉引用查找 printfstrcmp 等函数。分析发现,程序会调用 strcmp 对输入参数和内置字符串进行比较。关键字符串为:

I know the secret

当输入参数与该字符串一致时,程序会进入成功分支并输出成功信息。

查看 crackme1.exe 函数调用图

view_functioncalls
viex_40128

查看 crackme1.exe strcmp 比较逻辑

condition_chart

在命令行中执行以下命令进行验证:

crackme1.exe "I know the secret"

程序输出成功提示,说明 crackme1.exe 分析正确。

crackme1.exe 成功运行结果

image

2.2.4 crackme2.exe 静态分析过程

使用 IDA Pro 打开 crackme2.exe,同样先查看 Strings 窗口和函数调用关系。与 crackme1.exe 相比,crackme2.exe 的判断条件更多,除了检查输入参数是否为 I know the secret,还会检查当前程序文件名是否为指定名称。

使用 IDA Pro 加载 crackme2.exe

ida_crackme2

打开 crackme2.exe Strings 窗口

string_replay

通过分析关键分支发现,程序需要满足两个条件:

  1. 程序文件名应为 crackmeplease.exe
  2. 运行时输入参数应为 I know the secret

因此,不能简单执行:

crackme2.exe "crackmeplease.exe" "I know the secret"

而是需要先将 crackme2.exe 重命名为 crackmeplease.exe,再执行:

crackmeplease.exe "I know the secret"

查看crackme2.exe 条件判断分支

view_functioncalls2
view_charts1
view_charts2

将 crackme2.exe 重命名为 crackmeplease.exe

image

crackmeplease.exe 成功运行结果

image

2.2.5 总结

通过 IDA Pro 对两个 Crackme 程序进行静态分析,可以得到以下成功输入:

crackme1.exe "I know the secret"

crackmeplease.exe "I know the secret"

其中,第二个程序需要先将 crackme2.exe 重命名为 crackmeplease.exe,再输入指定参数。

2.3 分析实践任务一:RaDa 恶意代码样本综合分析

2.3.1 实验要求

对自制恶意代码样本 RaDa 进行综合分析,并回答以下问题:

  1. 提供该二进制文件的摘要,包括可以帮助识别同一样本的基本信息;
  2. 找出并解释该二进制文件的目的;
  3. 识别并说明该二进制文件具有的不同特性;
  4. 识别并解释该二进制文件中采用的防止被分析或逆向工程的技术;
  5. 对该恶意代码样本进行分类,并给出理由;
  6. 给出过去已有的具有相似功能的其他工具;
  7. 判断是否可能调查出该二进制文件的开发作者,并说明环境和限定条件。

2.3.2 获取样本摘要信息

首先在命令行中使用 md5sum 获取 RaDa.exe 的 MD5 摘要:

md5sum RaDa.exe

实验中可记录的 MD5 摘要为:

caaa6985a43225a0b3add54f44a0d4c7

该摘要可用于识别同一样本,后续报告中可以将其作为样本基本信息之一。

md5sum RaDa.exe 结果

md5_RaDa

2.3.3 使用 Process Explorer 观察样本行为

在隔离的 WinXP Attacker 虚拟机中运行脱壳后的 RaDa_unpacked.exe,同时打开 Process Explorer 对进程行为进行观察。通过进程字符串、路径和网络访问相关信息,可以分析 RaDa 的主要行为。

启动 RaDa_unpacked.exe 并用 Process Explorer 观察

run_radaunpacked
run_processexplore
monitor_rada
PEstrings_rada

根据分析,RaDa 会访问如下地址:

http://10.10.10.10/RaDa

并尝试将 RaDa_commands.html 下载到本地目录,例如:

C:\RaDa\tmp

该行为说明样本具有从远程位置下载命令文件并留下后门的能力。

发现 RaDa 访问 URL 和下载路径

PEstrings_rada

2.3.4 分析注册表与自启动行为

通过字符串和行为分析可发现,RaDa 使用 Wscript.Shell 对象进行注册表读写操作,涉及的方法包括:

RegWrite
RegRead
RegDelete

样本可能通过修改注册表实现开机自启动,使恶意程序在系统重启后仍能持续运行。

发现 Wscript.Shell 和注册表操作字符串

shell_usethreefunctions

2.3.5 分析网络攻击与后门行为

从字符串和行为信息可以看到,RaDa 可能针对以下内网地址段进行扫描或攻击:

192.168.0.0/16
172.16.0.0/12
10.0.0.0/8

同时,该样本还具有 DDoS 泛洪攻击相关行为,会占用目标主机资源,影响目标系统或服务的正常运行。

发现内网网段攻击或扫描相关信息

attack_threenets

2.3.6 问题回答

问题 1:提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息。

RaDa.exe 的 MD5 摘要为:

caaa6985a43225a0b3add54f44a0d4c7

md5_RaDa

此外,该文件为 PE32 类型 Windows 可执行文件,运行平台为 32 位 Windows,并使用 UPX 壳进行加壳保护。

问题 2:找出并解释这个二进制文件的目的。

RaDa 的目的主要包括:连接远程地址 http://10.10.10.10/RaDa 下载命令文件,向本机写入后门相关文件,修改注册表实现自启动,并对内网地址段进行扫描或攻击,同时具备 DDoS 泛洪攻击能力。总体来看,该样本的目的在于维持对受害主机的控制,并利用受控主机执行进一步攻击。

问题 3:识别并说明这个二进制文件所具有的不同特性。

RaDa 样本具有以下特性:第一,会从远程 Web 地址下载命令文件;第二,会在本地目录中释放或保存相关文件;第三,会通过注册表实现持久化自启动;第四,具备后门控制和 DDoS 攻击能力;第五,可能对常见内网网段进行扫描或攻击。

问题 4:识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术。

该样本使用 UPX 加壳技术。加壳后直接使用字符串提取工具查看原始样本时,能看到的有效字符串较少,部分内容表现为乱码或不完整信息,从而增加静态分析难度。通过超级巡警脱壳机脱壳后,再使用 strings 和 IDA Pro 分析,可以获得更多有效字符串和程序行为线索。

问题 5:对这个恶意代码样本进行分类,并给出理由。

RaDa 更适合归类为后门类恶意代码。它通过下载命令文件、修改注册表、实现自启动和执行远程控制相关行为来维持攻击者对主机的控制。它不以感染其他正常文件为主要目的,因此不属于典型病毒;也没有表现出明显的自主复制传播特征,因此不属于典型蠕虫。

问题 6:给出过去已有的具有相似功能的其他工具。

具有相似功能的工具或恶意代码包括 Bobax、Setiri、Gatslag 等。这类工具通常具有远程控制、下载命令、执行攻击指令或维持后门连接等功能。

问题 7:可能调查出这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?

可以在隔离的恶意代码分析环境中调查出开发作者。通过运行 RaDa.exe --authors、对脱壳后的样本使用字符串提取工具,或者在 IDA Pro 的 Strings 窗口中查看 Unicode 字符串,都可以发现作者信息。实验中得到的作者为:

Raul Siles & David Perez

author

需要注意的是,这一结论依赖于样本自身保留的作者字符串,并不能完全等同于真实世界中的攻击者身份。在实际取证中,还需要结合文件来源、编译信息、网络基础设施、日志证据和其他样本关联进行综合判断。

2.4 分析实践任务二:Windows 2000 系统被攻破并加入僵尸网络

2.4.1 实验要求

本任务需要分析由 Snort 工具收集的蜜罐主机 5 天网络数据。该数据已经过去除无关流量和混淆敏感信息处理,蜜罐主机 IP 地址为:

172.16.134.191

需要回答以下问题:

  1. IRC 是什么?当 IRC 客户端申请加入一个 IRC 网络时将发送哪个消息?IRC 一般使用哪些 TCP 端口?
  2. 僵尸网络是什么?僵尸网络通常用于什么?
  3. 蜜罐主机与哪些 IRC 服务器进行了通信?
  4. 在观察期间,多少不同主机访问了以 209.196.44.172 为服务器的僵尸网络?
  5. 哪些 IP 地址被用于攻击蜜罐主机?
  6. 攻击者尝试攻击了哪些安全漏洞?
  7. 哪些攻击成功了?是如何成功的?

2.4.2 数据准备与 Wireshark 初步观察

在 Kali 虚拟机中打开实验提供的网络日志文件:

botnet_pcap_file.dat

可以右键选择 Wireshark 打开,或在终端中使用 Wireshark、tcpdump、tcpflow 等工具进行分析。打开后可以看到数据中包含 TCP、UDP、HTTP、NBNS、NBSS、DCERPC、SMB 等多种协议流量。

Kali 虚拟机中准备 botnet_pcap_file.dat

image

Wireshark 打开 botnet_pcap_file.dat

wireshark_file

2.4.3 问题 1:IRC 概念、加入消息与常见端口

IRC 即 Internet Relay Chat,中文可称为互联网中继聊天,是一种实时文本通信协议。IRC 客户端连接 IRC 网络时,通常会向服务器发送用于身份注册和加入频道的命令,例如 NICKUSERJOIN。其中,NICK 用于设置昵称,USER 用于提交用户信息,JOIN 用于加入指定频道。

IRC 常见 TCP 端口包括:

6665、6666、6667、6668、6669
6697
7000

其中,6667 是非常常见的 IRC 明文通信端口,6697 常用于加密 IRC 连接。

2.4.4 问题 2:僵尸网络概念与用途

僵尸网络是由大量被恶意程序感染并受攻击者控制的主机组成的网络。被控制的主机通常称为僵尸主机或 Bot。攻击者可以通过命令控制服务器或 IRC 频道向这些主机下发指令。

僵尸网络通常可用于 DDoS 攻击、垃圾邮件发送、恶意软件传播、凭据窃取、代理转发、扫描其他目标以及执行大规模自动化攻击等恶意活动。

2.4.5 问题 3:蜜罐主机与哪些 IRC 服务器通信

由于 IRC 可能使用多个端口,可以先在 Wireshark 中以蜜罐主机 IP 和 IRC 常见端口为条件进行过滤。尝试过滤条件如下:

ip.src == 172.16.134.191 && tcp.port == 6665
ip.src == 172.16.134.191 && tcp.port == 6666
ip.src == 172.16.134.191 && tcp.port == 6667
ip.src == 172.16.134.191 && tcp.port == 6668
ip.src == 172.16.134.191 && tcp.port == 6669
ip.src == 172.16.134.191 && tcp.port == 6697
ip.src == 172.16.134.191 && tcp.port == 7000

过滤 tcp.port == 6667 的 IRC 通信

port_6667

经过筛选后,主要在 6667 端口发现 IRC 通信。蜜罐主机通信过的 IRC 服务器包括:

209.126.161.29
66.33.65.58
63.241.174.144
217.199.175.10
209.196.44.172

其中,209.196.44.172 通信较多,可作为后续重点分析对象。

2.4.6 问题 4:访问 209.196.44.172 僵尸网络的不同主机数量

在 Kali 中可以使用 tcpflow 提取与 209.196.44.172 相关的 IRC 流量:

sudo apt-get install tcpflow
sudo tcpflow -r botnet_pcap_file.dat "host 209.196.44.172 and port 6667"

install_tcpflow

生成会话文件后,结合 grepsedtrsortwc 统计不同主机数量。可以使用命令:

sudo cat 209.196.044.172.06667-172.016.134.191.01152 \
| grep -a "^:irc5.aol.com 353" \
| sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ://g" \
| tr ' ' '\n' \
| tr -d "\15" \
| grep -v "^$" \
| sort -u \
| wc -l

tcpflow 提取 IRC 流量

anaylize

统计不同主机数量为 3461

grep_hosts

即在观察期间,共有 3461 台不同主机访问了以 209.196.44.172 为服务器的僵尸网络。

2.4.7 问题 5:被用于攻击蜜罐主机的 IP 地址

可以使用 tcpdump 从 pcap 文件中筛选目的地址为蜜罐主机的流量,并提取源 IP 地址,统计攻击来源数量:

tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' \
| awk -F " " '{print $3}' \
| cut -d '.' -f 1-4 \
| sort \
| uniq \
| more > IP.txt

wc -l IP.txt

根据统计结果,共有 165 个不同 IP 地址被用于攻击蜜罐主机。可将 IP.txt 打开,查看具体 IP 地址列表。

tcpdump 提取攻击来源 IP

anaylize2

IP.txt 中的攻击源 IP 列表

IP1
IP2
IP3

2.4.8 问题 6:攻击者尝试攻击的安全漏洞

通过分析蜜罐主机相关 TCP 和 UDP 端口,判断攻击者尝试访问或攻击的服务。命令如下:

tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]==0x12 \
| cut -d ' ' -f 3 \
| cut -d '.' -f 5 \
| sort \
| uniq

tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp \
| cut -d ' ' -f 3 \
| cut -d '.' -f 5 \
| sort \
| uniq

统计 TCP 被攻击端口

image

统计 UDP 被攻击端口

image

结合 Wireshark 过滤结果,可以发现攻击者尝试攻击的 TCP 端口包括:

135   RPC
139   NetBIOS Session Service
25    SMTP
445   SMB
4899  Radmin
80    HTTP

同时,UDP 端口包括:

137   NetBIOS Name Service

这些端口对应 Windows 远程过程调用、NetBIOS/SMB 文件共享、邮件服务、远程管理和 HTTP 服务等,均可能成为攻击者尝试利用的目标。

2.4.9 问题 7:成功攻击及其过程分析

对各端口进行逐一分析,可以在 Wireshark 中使用以下过滤条件:

ip.addr == 172.16.134.191 && tcp.port == 135
ip.addr == 172.16.134.191 && tcp.port == 139
ip.addr == 172.16.134.191 && tcp.port == 25
ip.addr == 172.16.134.191 && tcp.port == 445
ip.addr == 172.16.134.191 && tcp.port == 4899
ip.addr == 172.16.134.191 && tcp.port == 80
ip.addr == 172.16.134.191 && udp.port == 137

逐个端口观察后可以发现:135、139、25、4899、80、137 等端口多为握手、探测、普通交互或未形成完整入侵过程;而 445 端口出现了与 SMB 远程执行相关的可疑文件和权限获取迹象。

在 445 端口流量中可以观察到 PSEXESVC.EXE 相关内容。PSEXESVC.EXE 通常与 PsExec 远程执行有关,攻击者可能借助 SMB 共享和服务创建机制,将可执行文件写入目标主机并启动远程服务,从而获得目标系统权限。

Wireshark 过滤 445 端口 SMB 流量

image

发现 PSEXESVC.EXE 可疑文件

image

发现 administrator 权限获取痕迹

image

因此可以判断,本次成功攻击主要发生在 445 端口。攻击者通过 SMB 相关机制植入或执行 PSEXESVC.EXE,进一步获取管理员权限,实现对 Windows 2000 蜜罐主机的远程控制,最终使其加入僵尸网络。

2.4.10 总结

本部分流量分析结果如下:

  1. IRC 是互联网中继聊天协议,客户端常通过 NICKUSERJOIN 等命令加入 IRC 网络或频道,常见端口包括 6665-6669、6697、7000;
  2. 僵尸网络是由大量受控主机构成的恶意网络,常用于 DDoS、垃圾邮件、恶意软件传播和信息窃取;
  3. 蜜罐主机通信过的 IRC 服务器包括 209.126.161.2966.33.65.5863.241.174.144217.199.175.10209.196.44.172
  4. 共有 3461 台不同主机访问了以 209.196.44.172 为服务器的僵尸网络;
  5. 共有 165 个不同 IP 地址被用于攻击蜜罐主机;
  6. 攻击者尝试攻击的端口包括 TCP 135、139、25、445、4899、80,以及 UDP 137;
  7. 成功攻击主要发生在 445 端口,攻击者通过 SMB/PsExec 相关方式植入或执行 PSEXESVC.EXE,获取管理员权限并远程控制目标主机。

3. 学习中遇到的问题及解决

  • 问题 1:RaDa 样本在解压或复制过程中可能被杀毒软件拦截,导致文件消失或无法正常分析。

  • 解决方案:将样本放在隔离虚拟机环境中处理,实验时临时调整虚拟机内的安全软件拦截策略,并避免在真实主机中运行样本。实验完成后及时删除样本并恢复安全设置。

  • 问题 2:直接对加壳后的 RaDa.exe 使用 strings 命令,看到的有效字符串较少,难以判断程序真实行为。

  • 解决方案:先使用 PEiD 判断样本是否加壳,再用超级巡警脱壳机进行脱壳,最后对脱壳后的 RaDa_unpacked.exe 进行字符串提取和 IDA Pro 分析。

  • 问题 3:分析 crackme2.exe 时,误以为需要输入两个参数,即 crackme2.exe "crackmeplease.exe" "I know the secret"

  • 解决方案:结合 IDA Pro 中的条件分支和字符串比较逻辑分析,发现程序检查的是自身文件名,因此应先将 crackme2.exe 重命名为 crackmeplease.exe,再输入参数 "I know the secret"

  • 问题 4:僵尸网络流量数据量较大,直接在 Wireshark 中逐包查看效率较低。

  • 解决方案:先根据实验问题确定分析目标,再使用 IP、端口和协议过滤条件缩小范围;对于数量统计类问题,使用 tcpdumptcpflowgrepsortuniqwc 等命令辅助提取和统计。

  • 问题 5:判断攻击是否成功时,仅凭端口连接或握手信息错误判断攻击成功。

  • 解决方案:不仅查看端口是否存在连接,还要继续分析是否出现文件传输、服务创建、权限获取、命令执行等后续行为。对于本实验,445 端口中出现 PSEXESVC.EXE 和管理员权限获取痕迹,因此可以判断该方向攻击成功。

4. 学习感想和体会

通过本次实验,我对恶意代码分析和网络流量取证的基本流程有了更加直观的认识。过去理解恶意代码时,更多停留在“病毒、木马、后门、蠕虫”等概念层面,而这次通过 RaDa 样本的文件识别、加壳判断、脱壳、字符串分析和行为观察,我认识到实际分析恶意代码时不能只依赖单一工具,而是需要把文件格式、字符串、注册表行为、网络访问和进程行为结合起来综合判断。

在 Crackme 分析部分,我体会到逆向分析的关键不只是看懂汇编指令本身,还要理解程序的判断逻辑。例如 crackme1.exe 主要比较输入字符串,而 crackme2.exe 还会检查自身文件名,如果只靠命令行试探,很容易找不到正确答案。通过 IDA Pro 的 Strings 窗口、函数调用图和条件分支,可以更清楚地定位程序的核心判断语句。

在僵尸网络流量分析部分,我进一步理解了网络取证中“证据链”的重要性。判断一次攻击是否成功,不能只看某个端口有连接,还要结合协议交互、可疑文件、权限变化和后续控制行为综合分析。通过对 445 端口 SMB 流量中 PSEXESVC.EXE 的分析,我认识到 Windows 文件共享和远程服务机制在被攻击者滥用时会造成严重安全风险。

总体来看,本次实验综合性较强,涉及恶意代码分析、逆向分析、网络协议分析和攻击行为判断等多个方面。通过实践,我不仅熟悉了 PEiD、超级巡警脱壳机、IDA Pro、Process Explorer、Wireshark、tcpdump、tcpflow 等工具的基本用法,也加深了对后门程序、僵尸网络、IRC 控制通信和 SMB 远程执行攻击的理解。今后在进行网络攻防实验时,应更加重视隔离环境、安全操作和证据记录,做到每一个分析结论都有对应截图或流量证据支撑。

posted @ 2026-05-10 14:12  cheadmaster  阅读(11)  评论(0)    收藏  举报