20199109 2019-2020-2 《网络攻防实践》第九周作业

恶意代码安全攻防

总体结构

这个作业属于哪个课程 https://edu.cnblogs.com/campus/besti/19attackdefense
这个作业的要求在哪里 https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10695
这个作业在哪个具体方面帮助我实现目标 学习恶意代码的安全攻防技术
作业正文.. 见一和二

一、课堂知识点总结

(一)恶意代码基础知识

1、恶意代码定义及分类

  • 恶意代码就是指使计算机按照攻击者的意图执行以达到恶意目标的指令集。
  • 恶意代码实现方式多样
  • 典型攻击目标包括:
    • 单纯技术炫耀
    • 远程控制被攻击主机,使其作为跳板去攻击其他的
    • 窃取私人信息或机密信息
    • 窃取计算、存储、带宽资源
    • 拒绝服务、进行破坏活动
  • 恶意代码类型
    • 计算机病毒:可自我复制的代码,将自身嵌入其他程序进行感染
    • 蠕虫:自主运行的恶意代码,无需将自身嵌入其他宿主程序
    • 恶意移动代码:在本地系统执行一些用户不期望的恶意动作的移动代码,移动代码是可以从远程主机下载并在本地执行的轻量级程序。
    • 后门:能绕开正常的安全控制机制,为攻击者提供访问途径的一类恶意代码
    • 特洛伊木马:伪装成有用的软件,隐藏其恶意目标的恶意代码
    • 僵尸网络:传播僵尸程序控制大量主机,通过一对多的命令与控制信道所组成的攻击网络。
    • 内核套件:替换或修改系统关键可执行文件,用以获取并保持最高控制权
  • 恶意代码命名规则:一般为[恶意代码类型.]恶意代码家族名称[.变种号]

2、计算机病毒

  • 定义:编制或者在计算机程序中插入的,破坏计算机功能或数据、影响计算机使用,并能自我复制的一组计算机指令或者程序代码
  • 基本特性:
    • 感染性:最本质特性,把自身复制到其他程序中
    • 潜伏性:感染过程隐蔽,不会立即进行破坏
    • 可触发性:满足一定条件后会激活感染机制
    • 破坏性:触发后会进行破坏
    • 衍生性:对已知病毒程序进行修改
  • 感染及引导机制
    • 感染目标:
      • 可执行文件:被作为宿主程序,三种最普遍的感染方式为前缀感染机制、后缀感染机制和插入感染机制。
      • 引导扇区
      • 支持宏指令的数据文件
    • 传播机制
      • 借助人类从一台计算机传播到另一台
      • 传播渠道包括移动存储、电子邮件及下载、共享目录等

3、网络蠕虫

  • 定义:通过网络自主传播的恶意代码。可以自我复制、并通过网络传播、无需人为干预。
  • 基本特性:通过网络自主传播,没有必要感染宿主
  • 组成结构
    • “弹头”:使用渗透攻击代码作为弹头侵入目标系统
      • 常用技术:缓冲区溢出攻击;文件共享攻击;利用电子邮件传播;利用其他普遍的错误配置。
    • 传播引擎:传输自身复制样本到目标系统。在目标系统上执行传播引擎指令完成样本传播。
      • 常利用的机制:文件传输协议FTP、小文件传输协议TFTP、HTTP、SMB、SOCKET等
    • 目标选择算法和扫描引擎:目标选择算法寻找新的攻击目标,然后用引擎扫描其每一个确定的地址。
      • 多种不同目标选择算法如下:电子邮件地址;主机列表;被信任的系统;网络邻居主机;域名服务;通过特定规则任意选择IP目标地址。
    • 有效载荷:附加的攻击代码,去执行一些特殊目的,也有可能为空。
      • 常携带的有效载荷如下:植入后门;安装分布式拒绝服务攻击代理;组建僵尸网络;执行一个复杂的计算。

4、后门与木马

  • 后门定义:允许攻击者绕过系统常规安全控制机制的程序,能按照攻击者自己的意图提供访问通道。
  • 木马指一类看起来具有某个有用或善意目的,但实际掩盖着一些隐藏恶意功能的程序
  • 后门能为攻击者提供多种不同类型的访问通道,包括:
    • 本地权限提升和本地账号
    • 单个命令的远程执行
    • 远程命令行解释器访问:远程shell
    • 远程控制GUI
    • 无端口后门
  • 特洛伊木马可用于一下目的:
    • 欺骗用户或系统管理员安装特洛伊木马程序,这样就可以通过毫无戒备的用户进入计算机系统。
    • 隐藏在计算机的正常程序中,将自己伪装成看起来属于该系统,使用户和管理员无察觉,通常与后门结合。

5、僵尸程序与僵尸网络

  • 僵尸程序携带弹头,利用网络漏洞进行传播,接受控制后攻击和传播,会采用一些伪装机制,可以进行一对多的命令和控制。

  • IRC僵尸网络由僵尸网络控制器和僵尸程序两部分组成。

  • IRC僵尸网络的工作机制如图示

  • 僵尸程序的命令与控制机制包括:基于IRC协议的命令与控制机制;基于HTTP协议的命令与控制机制;基于P2P协议的命令与控制机制。

6、rootkit

  • 定义:一类特洛伊木马后门工具,通过修改现有操作系统软件,使攻击者获得访问权并隐藏在计算机中。
  • 根据操作系统的分层,Rootkit可以运行在两个不同的层次上,即用户模式和内核模式。
    • 用户模式rootkit有针对Unix的和Windows的
    • 内核模式rootkit更彻底地损坏计算机,大多采用一下技术:文件和目录隐藏;进程隐藏;网络端口隐藏;混杂模式隐藏;改变执行方向;设备截取和控制。

(二)恶意代码分析方法

1、概述

  • 恶意代码分析的关键在于构造一个受控的分析环境,分析代码,推测恶意代码目的,确定其行为特征。
  • 恶意代码分析的技术方法主要包括静态分析和动态分析两大类

2、恶意代码静态分析技术

主要技术手段包括

  • 反病毒软件扫描
  • 文件格式识别:快速了解待分析样本的文件格式
  • 字符串提取分析:彻查目标程序,可能获得的有用信息内容包括:
    • 恶意代码实例名;帮助或命令行选项;用户会话;后门口令;相关URL信息,E-mail地址;包含库文件和函数调用。
    • 常用字符串提取命令工具为strings,快速查找和定位特殊字符串在Unix中可使用grep命令,Windows中使用find命令。
  • 二进制结构分析
    • Unix平台常利用binutils工具,常用nm和objdump命令。
  • 反汇编和反编译:二进制程序编译链接的逆过程
  • 代码结构和逻辑分析:反汇编和反编译获得代码后,针对这些代码进行分析。
  • 加壳识别与代码脱壳
    • 恶意代码使用的加壳混淆机制包括:加密、多样性、多态和变形
    • 加壳包括:压缩壳、机密壳、多态壳、变形壳和伪装壳

3、恶意代码动态分析技术

主要技术手段有:

  • 快照比对:获取恶意代码行为结果,但无法监控和分析恶意代码的中间行为。
  • 系统动态行为监控:进行实时监视、记录和显示。
    • 通常基于行为通知机制或API劫持技术实现
    • 根据监控的行为类别,软件可分为:文件行为监控软件;进程行为监控软件;注册表监控软件;本地网络栈行为监控软件。
  • 网络协议栈监控:分析恶意代码网络监听端口及发起网络会话
  • 沙箱:在受控环境下进行完整的恶意代码动态行为监控与分析
  • 动态调试:单步调试恶意代码程序,理解程序结构和逻辑

二、实践过程

实践一:恶意代码静态分析

任务:对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者。
(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具。
(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理。
(3)使用字符串提取工具,对脱壳后的 rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?

  • 0、在开始实验之前断开虚拟机和物理机的网络连接,我这个电脑小白生怕把我电脑弄坏,信息泄露等等,把电脑的网也断开了,做完实验第一件事把文件删除了,没想到后面又要用。。

  • 1、利用file命令查看rada.exe的文件类型,可以看到这是一个32位Windows PE可执行文件,并且有图形化窗口。

  • 2、使用PEiD工具查看rada.exe的基本信息,可以看到文件的入口点、EP段、偏移、文件类型等信息,同时可以看到这个是一个版本为0.89.6的UPX壳。

  • 3、使用 strings 命令查看 RaDa.exe 中可打印字符串,可以看到都是乱码,因为文件被加壳,正常字符无法显示。

  • 4、对 RaDa.exe 进行脱壳

  • 5、用 strings 再次查看脱壳后的 RaDa.exe(RaDa_unpacked.exe) ,可以看到脱壳之后出现正常的字符串,可以从中寻找有用信息。

  • 6、我们再用IDA Pro来分析一下脱壳后的文件。可以看到一些信息。比如作者的信息DataRescue sa/nv,这个程序是由MSVB编写的。继续往下是一些函数调用,以及一些汇编代码。

实践二:分析Crackme程序

任务:使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe,寻找特定的输入,使其能够输出成功信息。

  • 1、计算两个crackme的md5值,验证文件完整性

  • 2、使用 file 命令查看 crackme 的文件类型。

  • 3、首先,我们先对 crackme1.exe 进行破解。 一开始是尝试运行该程序,试探其输入格式。 我们可以发现,在接受 1 个参数时,程序的反馈与众不同,所以我们猜测该程序接受一个参数。目前为止,我们已经发现了程序的两种反馈信息。一种是“I think you are missing something.”,这个猜测是参数数目不对的提示;另一种是“Pardon? What did you say?”,对 于这种反馈信息,我们猜测是参数错误的提示。

  • 4、我们使用 IDA pro 工具来打开文件,尝试阅读其汇编语言,验证我们的猜想。通过 Strings 页面可以查看到该程序中出现的明文字符串,我们发现了前面的两种反馈信息,还发现了“I know the secret”和“You know how to speak to programs, Mr. Reverse-Engineer”这两个字符串。我们可以猜测,前者就是我们需要的口令,后者就是输入口令正确时程序的反馈信息

  • 5、查看函数调用图(Function Call),可以看到字符串比较函数strcmp和输出函数fprintf和printf。那么sub_401280这个函数就很重要了。

  • 6、我们开始查看 sub_401280 的汇编代码。


    其中行 cmp [ebo+arg_0],2 为判断程序是否有两个参数 。
    如果参数为2,根据上图的流程,可以看到,程序用“I know the secret”对应的字符串和[eax]对应的字符串(也就是用户输入的口令)相比较,通过比较的结果反馈口令是否正确,若正确,就输出“You know how to speak to programs, Mr. Reverse-Engineer”

  • 7、去实验看看分析的对不对

  • 8、接下来分析crackme2.exe。首先还是看明文字符串,有五个。

  • 9、接下来会是打开Function call,此时我们就应该注意sub_401280这个函数了。

  • 10、同样开始分析它的汇编代码。首先还是判断程序参数是否为两个,如果是两个,则用 strcmp 函数对 argc 里面的第一个字符串,即程序名,和“crackmeplease.exe” 进行判断

  • 通过程序名判断后,将“I know the secret”与用户输入的口令进行判断。然后通过一定规则输出通过测试的信息。具体是 unk_403080 中的字符串分别与 0x42h 进行异或运算。


  • 11、最后我们去测试,成功。

实践三:样本分析,分析一个自制恶意代码样本

任务:深入分析这个二进制文件,并获得尽可能多的信息,包括它是如何工作的,它的目的以及具有的能力,最为重要的,请展示你获取所有信息所采取的恶意代码分析技术。
回答问题:
1、提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息。
2、找出并解释这个二进制文件的目的。
3、识别并说明这个二进制文件所具有的不同特性。
4、识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术。
5、对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由。
6、给出过去已有的具有相似功能的其他工具。
7、可能调查出这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?

分析过程:

  • 首先查看摘要信息,可以看到md5摘要值。前面还查到过这个文件是32位PE GUI可执行程序,同时这是一个UPX加壳文件。

  • 打开process explorer软件进行监测,启动恶意软件rada。右键查看其属性,可以发现rada启动后有如下行为:

    • 通过HTTP协议请求10.10.10.10\RaDa\RaDa_commands.html
    • 新建了tmp目录。RaDa.exe复制到了C:\RaDa\bin目录下
    • 修改注册表,将rada设置为开机启动。HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 即为控制计算机启动项的注册表信息, RaDa: C:\RaDa\bin\RaDa.exe 。
    • 此处还有一个VMware tools,具体不知道是干什么的,待会儿用IDA详细分析。
    • 上述行为结束后,该程序对主机实行了DDOS拒绝服务攻击(后来发现实际上它没有提供任何用以发动DDos攻击的子程序),可以看出该恶意代码将其自我复制到主机系统盘,并激活了自启动,还试图从一个HTML页面获取并解析命令,故猜测这应该是一个后门程序。

  • 接下来该程序对注册表进行了读写和删除操作。

  • rada一直在后台运行,不会弹出任何窗口,它可以支持exe、put、get、screenshot、sleep等指令。

    • exe:在宿主主机中执行指定的命令
    • put:将宿主主机中的指定文件上传到服务器
    • get:将服务器中的指定文件下载到宿主主机中
    • screenshot:截取宿主主机的屏幕并保存到tmp文件夹
    • sleep:停止活动一段时间

  • 我们再用IDA来看一下。使用IDA打开脱壳后的程序,查看字符串,首先我们要右键type->set up->修改类型为unicode。这里我们着重来看一下之前提到的VMware tools和RaDa_commands.html。

  • 首先来分析一下RaDa_commands.html。双击去寻找这个字符串对应的函数。可以找到这个字符串对应的函数是sub_404FB0

  • 进入这个函数,可以看到他是被拷贝到dword_40C030这个变量中了。

  • 我们再去找dword_40C030变量对应的函数,也就是函数sub_4052C0。找到这个函数,查看流程图。这里我们看到判断了三个网段分别为192.168.、172.16.、10.,很明显,这是三个私有网段,也就是说确保服务器在私有网段中,然后到服务器去取命令文件。有命令文件就一定有命令,我们在IDA里能看到一些具体的命令以及其功能。

  • 然后我们再来看一下VMware tools在干嘛。双击字符串进行定位,可以看到它对应的函数是sub_404FB0。

  • 在sub_404FB0这个函数中,又可以看到这个字符串被拷贝到变量dword_40C070

  • 寻找这个变量对应的函数,为sub_40AAA0。

  • 查看函数sub_40AAA0流程图,可以看到这个函数进行网卡配置信息的查询(Select * from win32_networkadapterconfi),然后确认dword_40C070对应的字符是否存在,若存在(绿色线条),判断vmware tools是不是在注册表里面。

  • 还有一点需要注意。--authors在我们的虚拟机上输出的是Unknow argument,可是我们确实也能在明文字符串信息中找到作者的信息。

  • 这个时候我们观察到--authors参数对应的处理函数是sub_40B010,然后我们打开流程图进行观察,可以发现这里调用了sub_40AAA0函数,也就是上面虚拟机对应的处理函数,我们发现,这里的处理是如果是虚拟机就输出Unknow argument,如果不是,就输出正确的作者信息。

  • 至此分析部分就结束了。

  • 接下来进行一个小结:

  • 这个二进制文件的目的:通过上面的分析,可以发现这应该是一个后门程序。用户上网,就得到了攻击者的指令,攻击者可以完全控制该系统(指令)。它不具有传播与感染的性质,也没有将自己伪装成一个有用的程序来欺骗用户运行。

  • 这个二进制文件所具有的不同特性:RaDa.exe被执行时,它会将自身安装到系统C盘中,并通过修改注册表的方式使得每次系统启动,启动后主要就是以下过程:

    • 从指定的web服务器请求指定的web页面。
    • 解析获得的web页面,获取其中的指令。
    • 执行解析出来的指令,主要的指令上面给出。
    • 等待一段时间后继续按照这个循环执行。

  • 这个二进制文件中所采用的防止被分析或逆向工程的技术:

    • UPX加壳
    • 通过查看网卡的MAC地址以及查看VMware Tools的注册表项来判断操作系统是否运行在VMware虚拟机上,如果是,则使用—-authors参数时将不会输出作者信息。
    • Starting DDoS Smurf remote attack字符串可能让别人联想这是DDos攻击。

  • 对这个恶意代码样本进行分类:是一个后门程序。

  • 给出过去已有的具有相似功能的其他工具:2004年发现的木马Bobax,也是使用HTTP协议从指定的服务器下载命令文件,然后解析并执行其中的指令。还有特洛伊木马Setiri,GatSla。

  • 这个二进制文件的开发作者:从很多地方都能看到,是Raul siles和David Perze于2004年编写的。

实践四:取证分析,Windows 2000系统被攻破并加入僵尸网络

任务:数据源是Snort收集的蜜罐主机5天的网络数据源,并去除了一些不相关的流量,同时IP地址和其他敏感信息被混淆。回答下列问题
1、IRC是什么?当IRC客户端申请加入一个IRC网络时将发送哪个消息?IRC一般使用哪些TCP端口?
2、僵尸网络是什么?僵尸网络通常用于干什么?
3、蜜罐主机(IP:172.16.134.191)与哪些IRC服务器进行了通信?
4、在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络。
5、哪些IP地址被用于攻击蜜罐主机?
6、攻击者尝试了哪些安全漏洞?
7、哪些攻击成功了?是如何成功的?

分析过程

  • 1、IRC是什么?当IRC客户端申请加入一个IRC网络时将发送哪个消息?IRC一般使用哪些TCP端口?

    • IRC全称Internet Relay Chat,即因特网中继聊天。用户使用客户端软件,然后通过因特网以IRC协议连接到一台IRC服务器即可聊天。
    • 注册时需要发送的消息有三种,分别是口令,昵称和用户信息。格式如下:USER 、PASS 、NICK 。注册完成后,客户端就使用JOIN信息来加入频道,格式如下:JOIN
    • IRC服务器明文传输通常在6667端口监听,也会使用6660—6669端口。SSL加密传输在6697端口。

  • 2、僵尸网络是什么?僵尸网络通常用于干什么?

    • 僵尸网络是攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络。
    • 僵尸网络通常用来发起大规模的网络攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件、窃取秘密、滥用资源、僵尸网络挖矿等。同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。

  • 3、蜜罐主机(IP:172.16.134.191)与哪些IRC服务器进行了通信?

  • IRC服务器通常在6667端口监听,故只需知道蜜罐主机发出的尝试连接6667端口的数据包即可,连接时使用的是TCP三次握手。使用“ip.src == 172.16.134.191 and tcp.dstport == 6667” 过滤规则进行查找,发现蜜罐主机与5台IRC服务器进行了连接,分别是:
    209.126.161.29、66.33.65.58、63.241.174.144 、217.199.175.10、209.196.44.172。

  • 4、在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络。

  • 首先使用tcpflow分流(筛选指定host与端口),命令tcpflow -r 9.dat "host 209.196.44.172 and port 6667"(我把老师给的文件为了方便输改了个名),产生了三个文件,<209.196.044.172.06667-172.016.134.191.01152>、<172.016.134.191.01152-209.196.044.172.06667>、<report.xml>

  • 先看一下report.xml文件,可以看到如下图的内容,包括上述双方的ip地址,端口,mac地址,通信时间等等。

  • 因为我们要找的是访问 209.196.44.172的主机,故着重看一下第一个文件。在当前主机进入到IRC的频道之后,频道会将当前频道中所有的主机的信息都发送过来,我们可以从其中的数据包中计算当前频道共有多少主机。这个计算分为两部分。首先我们计算在当前主机加入IRC时刻,IRC中主机的个数。然后我们在计算截至结束嗅探的时候的不断有主机加入和退出IRC频道,我们在补充上这个过程中的主机个数。代码如下,其中的test.txt文件是复制的<209.196.044.172.06667-172.016.134.191.01152>文件,运行python文件的时候不知道为什么有点问题,结果和正答不一样。之后再用别的方法试一试。

  • 5、哪些IP地址被用于攻击蜜罐主机?

  • 因为蜜罐的特殊性,只要是进入蜜罐的流量都应该被认为是攻击。所以首先明确被攻击的端口。使用指令<tcpdump -n -nn -r 9.dat 'dst host 172.16.134.191' | grep -v 'reply' | cut -d '.' -f 10 | cut -d ':' -f 1 | sort | uniq | more >1.txt; wc -l 1.txt>查找端口并输出到1.txt中,如图所示,查找到148个被攻击的端口。其中cut -d是指定字段的分隔符,uniq命令用于检查及删除文本文件中重复出现的行列,一般与sort命令结合使用。

  • 接下来使用指令<tcpdump -n -nn -r 9.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 2.txt;wc -l 2.txt>找出所有的可能连接的主机的IP地址,将其输出到2.txt中,可以看出总共有165个主机可能被用于入侵蜜罐。其中awk -F就是指定分隔符,可指定一个或多个,print后面做字符串的拼接。

  • 6、攻击者尝试了哪些安全漏洞?7、哪些攻击成功了?是如何成功的?

  • 攻击了哪些安全漏洞首先要了解攻击了哪些端口,使用“snort -r 9.dat -c /etc/snort/etc/snort.conf -K ascii”指令先查一下网络流分布情况。我们发现大部分都是TCP包,有一部分UDP包,所以我们首先应该筛选出响应的TCP端口和UDP端口。

  • 利用指令<tcpdump -r 9.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq> 筛选出蜜罐主机相应的TCP端口。可以看到TCP响应端口为135(rpc),139(netbios-ssn),25(smtp),445(smb),4899(radmin),80(http)。同样的,将指令协议部分改成udp就可以查询udp端口响应,我们能查到仅有137(netbios-ns)号端口响应。

  • 下面就对上面几个端口进行逐个分析,先说明udp 137号端口,这个是个在局域网中提供计算机的IP地址查询服务,处于自动开放状态,所以访问这个端口肯定就是NetBIOS查点了。

  • 接下来我们看tcp 135号端口和25号端口,我们看到只是进行了连接,但是是没有数据的交互的,所以这攻击者可能是对这两个端口进行了connect扫描。

  • 然后看TCP 80端口,首先利用Wireshark进行筛选tcp.dstport==80 && ip.dst == 172.16.134.191,发现连接最多的就是24.197.194.106这个IP地址,他的行为就是不停用脚本攻击IIS服务器的漏洞,从而获取系统权限,正是因为用的脚本,所以才会有这么多记录。

  • 再有就是210.22.204.101访问的80端口,可以看到超多的C,可能攻击者是想通过缓冲区溢出攻击来获得一个命令行。

  • 最后一个访问80端口的是218.25.147.83,看到这么多N以为是缓冲区溢出攻击,但是继续往下看会看到c:\notworm,通过百度可以发现这是一个红色代码蠕虫攻击。

  • 我们通过蜜罐主机80端口向外的流量进行分析,发现蜜罐主机做的几次回应均为一个iis服务器的默认页面,所以80端口的这些攻击均失败。

  • 接下来是TCP 139号端口。这个也比较简单,虽然有很多连接到这个端口的,但是基本都是一样的,大部分都是连接,然后很多空会话,同样这个也没有成功,这个应该是个SMB查点。

  • 下面分析445端口。查询字符串后可以发现一个PSEXESVC.EXE字符串,同时你在Wireshark中也能找到,是由61.111.101.78发起的,通过对这种字符串的搜索,发现这是一种Dv1dr32蠕虫,这种蠕虫正是通过IRC进行通信。通过找出口流量,发现每个IP地址连入的连接都有响应的回应,并且返回信息中含有\PIPE\ntsvcs,通过搜索可知,这是一个远程调用,所以攻击者肯定是获得了权限,因此这个攻击成功的。

  • 最后还剩一个TCP 4899端口。这个端口是一个远程控制软件radmin服务端监听端口,这个软件不是木马,应该是上面攻击成功后上传的这个软件方便控制。

学习中遇到的问题及解决

问题一:最大的问题就是哪哪都是问题,要是没有答案和同学的博客估计就死翘翘了
解答:革命尚未成功,同志需努力努力再努力
问题二:分析又不同主机访问僵尸网络的时候出现错误
解答:由于python代码是copy的,也不太会编程,之后打算换一种方法再试

4.学习感想和体会

如果说上两次作业让我以为我进入了状态,学习变得轻松一点的话,这次作业就把我打回原形,打到井底,真的要自己分析的话太难了,做完了作业对汇编也仅有了一点了解,希望能在上课的时候跟着大佬学到更多知识吧。

posted @ 2020-04-29 21:04  黄雅婷  阅读(393)  评论(0编辑  收藏  举报