20232305 2025-2026-1 《网络与系统攻防技术》实验四实验报告

一、实验内容

1.1恶意代码文件类型标识、脱壳与字符串提取

1.2使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。

1.3分析一个自制恶意代码样本rada,并撰写报告,回答以下问题:

1.4取证分析实践

二、实验过程

(一)对提供的rada恶意代码样本进行对提供的rada恶意代码样本,进行文件类型识别,脱壳与字符串提取,以获得rada恶意代码的编写作者

(1)使用文件格式和类型识别工具,给出rada恶意代码样本的文件格式、运行平台和加壳工具;
在kali虚拟机下使用file命令,分析RaDa文件的文件类型。
c432ddaea43e5a4695aea99e39d39ede

可见,该文件为属于Windows系统下标准的PE32可执行文件格式。“32”标识表明其为32位程序,能够在MS Windows 4.00及更高版本的Windows操作系统中运行。从程序类型来看,它是一款带图形界面(GUI)的应用程序,而非命令行工具,用户可通过可视化界面进行操作交互。在内部结构上,该文件包含3个sections,这些段分别承载着程序的代码、数据等核心模块。

在windows下只用PEiD对RaDa.exe进行分析。
c87ab25572d49b9dfccb3e8e3c037f74

可见PEiD检测出该文件经UPX 0.89.6 - 1.02 / 1.05 - 2.90 加壳,该UPX作者为Markus和Laszlo。

(2)使用超级巡警脱壳机等脱壳软件,对rada恶意代码样本进行脱壳处理
使用超级巡警脱壳机进行脱壳,得到脱壳后的文件
2e7d2999cd5eba7ae98a5ec84f7e2a41

(3)使用字符串提取工具,对脱壳后的rada恶意代码样本进行分析,从中发现rada恶意代码的编写作者是谁?
打开IDE Pro,选择PE Executable,对RaDa_unpacked.exe进行分析
a19f1e0ee2259515d0326e041633dc92
在这个窗口中可以清晰地看到其中包含作者和时间的字符串,双击找到该字符串所在位置
2bb5c0a6c56c5e347a286dba056443ad

1a0c9e61fd09e4c08c5124b47bd83553

(二)使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe,寻找特定输入,使其能够输出成功信息。

(1)分析crackme1.exe
首先先运行一下crackme1.exe
87d54f092cc8f06756b16e76804846e7

可见,当输入一个参数时,会显示“Pardon? What did you say”,输入其他的参数会显示“I think you are missing something”。猜测需要输入一个正确的参数才能让该文件正确执行。

于是在IDA Pro中打开文件crackme.exe,在strings窗口下可以看到,有四个提示语
25be4876c1e25fb1d0c32d8cd33e819d

25923151e6d68ffb18a14c2a1ac086f8

可见这些字符串会被sub_401280函数调用于是利用字符串跳转到该函数
image
可见,这里应该是调用了strcmp函数进行字符串比对然后输出。进行比对的字符串就是“I know the secert"于是进行尝试。

84f7fad439945c51c47c2f0531a4893e

可见成功。

(2)分析crackme2.exe
依旧先运行一下
a953d98752fbc3d880d3ccf5e181e505

发现感觉逻辑和crackme1.exe差不多,使用IDA Pro进行分析,发现和crackme1.exe的区别是多了一个"crackmeplease.exe"这个字符串。

ee46a80857df4c1fd9d51bdeb21cb4b6

6214ce78b46eff83c2998de377ed9fa6

7d525cf919505ca9d18a990bc9fb3010

进行分析,可见,当第一个参数传入的是crackmeplease.exe时,才能进入接下来的判断,判断第二个参数是不是"I know the secret",但是发现如果我输入".\crackme2.exe crackmeplease.exe "I know the secret""的话,程序会判断我只输入了一个参数,并且该参数并不是"crackmeplease.exe"而是"crackmeplease.exe "I know the secret""。因此猜测第一个字符串比较是检测文件名的,因此修改文件名为crackmeplease.exe再次进行测试。

51fca17df61c5d64504ab52f85455f9d

发现得到正确的结果。

(三)分析一个自制恶意代码样本rada,并撰写报告

(1)提供对这个二进制文件的摘要,包括可以帮助识别同一样本的基本信息
依次输入:
file RaDa_unpacked.exe #识别文件类型

md5sum RaDa_unoacked.exe #计算文件的md5摘要值

exiftool RaDa_unpacked.exe | grep "Time Stamp" #提取文件元数据并过滤时间戳信息

c54619aad8dcfcf4111e376ed7804cc8
e1d42c7a7854c31b5b03625644e9cc11

可见:
文件格式与结构:RaDa_unpacked.exe 是适用于 MS Windows 4.00(GUI)的 PE32 可执行文件,基于 Intel i386 架构,包含 4 个 sections。
哈希值(MD5):47c2a1dcf8347afd8cf76d99217c5b。
时间戳:2004年10月29日 19:59:58(时区-04:00)。

(2)找出并解释这个二进制文件的目的
使用IDA Pro分析脱壳后的RaDa_unpacked.exe文件,由于string窗口中会包含能够所有能够打印的字符串信息,而在之前分析crackme文件中,前几个都是很关键的信息,包含了与用户交互的字符串内容,于是分析这个文件也从这里入手。

91ee8ad95a8f9296fbb0339572b2d3c4

推测其中的Module1和RaDa可能包含了一些信息,于是跳转到包含该字符串的位置

13bf925c3fc2ce5757faa9a289b9bad8

发现在函数sub_404FB0中包含了http://10.10.10.10/RaDa这个网址。于是跳转至该函数

1d436b999e51cb53a1c5942e1507647e

697d275e57f88b9184d663ace9f18a40

可得以下信息:
网络与 Web 组件配置:代码中出现了 URL 字符串“http://10.10.10.10/RaDa”,以及 “RaDa_commands.html”、“cgi-bin”、“download.cgi”、“upload.cgi” 等相关标识,说明程序会与 10.10.10.10这个IP地址的Web服务进行交互,大概率是一个与 Web 管理或远程控制相关的程序。

本地文件与路径配置:定义了本地路径“C:\RaDa\tmp”、“C:\RaDa\bin”以及程序自身名称“RaDa.exe”,说明程序会在本地磁盘的RaDa目录下创建临时文件夹、二进制文件目录,用于存储临时文件或自身组件。

系统注册表操作:出现了注册表路径字符串“HKLM\Software\Microsoft\Windows\Current...”,表明程序会对系统注册表的HKEY_LOCAL_MACHINE分支进行读写操作,可能用于存储自身配置、持久化运行信息或篡改系统设置,实现开机自启动。

并且,该程序会通过字符串拼接构建远程交互URL( http://10.10.10.10/RaDa+cgi-bin/+download.cgi),本地文件路径(C:\RaDa+tmp)和注册表

基于以上信息分析,该文件的目的是远程控制,并且偷窃用户的数据,实现开局自启动。

(3)识别并说明这个二进制文件所具有的不同特性
基于之前获得的信息,可知该文件具有远程连接,并且使用字符串拼接得到真正的远程控制的URL和文件路径,更加隐蔽。

(4)识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术
使用了UPX加壳技术进行保护,并且通过拼接字符串增加了寻找有效信息并分析的难度。并且该程序使用VB6开发,提供 VB 特有的内存管理、字符串处理机制,调试时需加载该运行时才能正确解析函数参数和内存布局。

(5)对这个恶意代码样本进行分类(病毒、蠕虫等),并给出你的理由
我认为该恶意代码为远程控制工具,而不是传统病毒或蠕虫。理由如下:

  1. 该代码的核心功能为通过http://10.10.10.10/RaDa等URL与远程服务器交互,实现下载指令、上传数据等远程控制操作,符合RAT“远程操控目标主机” 的核心特征;
  2. 无病毒“感染其他文件”或蠕虫“自主传播”的行为特征,仅通过本地持久化(注册表操作)维持运行;

(6)给出过去已有的具有相似功能的其他工具
之前实验使用过的msfvenom和veil
灰鸽子,具备持久化驻留、屏幕监控、敏感信息窃取等功能,通过C&C服务器实现对目标主机的远程管理

(7)可能调查处这个二进制文件的开发作者吗?如果可以,在什么样的环境和什么样的限定条件下?
有可能,之前得到作者为RaulSiles&&DavidPerez,创作时间标注为2004年9月。如果这些信息是真的,那么有可能在早期的类似恶意代码的社区找到作者的一些信息。

(8)给出至少5种检测该恶意软件的方法,例如基于特征码的方法,需要详细介绍每种方法。

  1. 特征码检测
    提取样本哈希值、特有字符串及核心指令序列,录入特征库,通过静态比对匹配判定。
  2. 行为日志检测
    监控网络、文件、注册表行为,匹配恶意行为集触发告警。
    3.启发式检测
    结合静态分析和逻辑推理,基于“恶意软件的典型特征组合”判断风险,介于特征码检测和行为分析之间。依赖精确特征码,而是定义一系列“恶意特征规则”。若目标文件满足多个规则的组合阈值,则判定为恶意。
  3. 加壳特征检测
    识别 UPX 加壳标识,监控进程内存解压、入口点跳转的脱壳行为,关联后续恶意操作告警。
  4. 沙箱动态检测
    在隔离环境中运行样本,自动收集其创建专属目录、远程通信、注册表写入等行为,与预设恶意画像比对判定。

(四)取证分析实践

(1)IRC是什么?当IRC客户端申请加入一个IRC网络时将发送那个消息?IRC一般使用那些TCP端口?

IRC是Internet Relay Chat的英文缩写,中文一般称为互联网中继聊天。它是由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。IRC是一种多用户、多频道的讨论系统,用户可以在频道内就某一话题进行交谈或私谈,也可以进行单独交谈。
当IRC客户端申请加入一个IRC网络时,需要发送NICK和USER消息来进行注册。NICK消息用于指定用户的昵称,USER消息用于提供用户的额外信息,如用户名等。
IRC一般使用TCP端口194、6667以及6660-7000等。其中,端口194是IANA分配给IRC的标准端口,但实际上,IRC 通常运行在6667端口以及附近的端口,比如6660-6669、7000上,以避免需要以root权限运行IRC服务器软件。

(2)僵尸网络是什么?僵尸网络通常用于什么?

僵尸网络是由僵尸程序和控制服务器组成。黑客通过恶意软件感染计算机、手机、物联网设备等终端,这些被感染设备会被植入僵尸程序,进而被黑客远程控制,形成可统一调度的“僵尸军团”。
被感染设备的用户通常不会察觉,设备会在后台执行黑客指令,成为黑客发起攻击的“傀儡”。

僵尸网络的主要用途:
分布式拒绝服务攻击:集中大量僵尸设备向目标服务器发送海量请求,耗尽服务器带宽或资源,导致服务瘫痪。
垃圾邮件分发:利用僵尸设备群批量发送垃圾邮件、钓鱼邮件,传播恶意软件或进行诈骗。
信息窃取:盗取僵尸设备中的敏感信息,如账号密码、银行卡信息、个人隐私数据等。
挖矿行为:在僵尸设备上非法运行挖矿程序,占用设备算力和电力资源,为黑客获取虚拟货币。
传播恶意软件:通过僵尸网络向更多设备推送病毒、木马等恶意软件,扩大僵尸网络规模。

(3)蜜罐主机(IP地址:172.16.134.191)与那些IRC服务器进行了通信?
在wireshark中打开botnet_pcap_file.dat,通过ip.addr == 172.16.134.191 and tcp.port in {194,6660..6669,7000}筛选IP地址为172.16.134.191,端口为194,6660-6669,7000的数据包。得到粗筛过的数据包。
由于在与IRC主机建立连接的时候,会先发送NICK和USER包,然后如果通过,IRC主机会回复一个欢迎包,根据这个信息,可得该主机和63.241.174.144、217.199.175.10、209.196.44.172尝试建立通信。
5536e851c521c34baa4f1ae92e196e42
8ec4b16a3cf5c2638a7e6e5015e8039b

其中,63.241.174.144返回了433的数据包,表示客户端申请的昵称已存在,注册失败。
143c731ea68a97ad2bc44b71f47af55f

217.199.175.10返回了error,根据得到的数据包来看,猜测是服务器繁忙。
01456fcef820dad35c285b4d32a1165b

然后与209.196.44.172尝试建立连接,并且服务器回复001,表示链接成功。
ad81b06179eb0ad13f30f10118119242
而且建立链接后,IRC服务器在不断发送join和quit数据包。猜测可能是攻击者在使用这个主机对该IRC服务器进行DDOS攻击。

(4)在这段观察期间,多少不同的主机访问了以209.196.44.172为服务器的僵尸网络?
在kali中输入sudo apt-get install tcpflow下载tcpflow,然后输入tcpflow -r botnet_pcap_file.dat "host 209.196.44.172 and port 6667",其中-r:表示“读取已保存的数据包文件”,"host 209.196.44.172 and port 6667"表示过滤条件:想保留与209.196.44.172相关且端口为6667的流量

生成的文件通常以 <source_ip><source_port>-<destination_ip><destination_port> 格式命名,例如:172.016.134.191.01152-209.196.044.172.06667和209.196.044.172.06667-172.016.134.191.01152
还有个文件则是report.xml
其中,前两个文件记录了蜜罐主机与 209.196.44.172 服务器在端口 6667 上的通信流量,方向分别为:

172.016.134.191.01152-209.196.044.172.06667:蜜罐主机发送到 IRC 服务器的流量
209.196.044.172.06667-172.016.134.191.01152:IRC 服务器发送到蜜罐主机的流量

然后输入以下命令cat 209.196.044.172.06667-172.016.134.191.01152 | grep -a "^:irc5.aol.com 353" | sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ://g" | tr ' ' '\n' | tr -d "\15" | grep -v "^$" | sort -u | wc -l即可直接查看有多少不同的主机访问了以209.196.44.172为服务器的僵尸网络

其中各个参数的作用为
cat 209.196.044.172.06667-172.016.134.191.01152:读取tcpflow输出的IRC数据流文件
grep -a "^:irc5.aol.com 353":筛选含 IRC 频道用户列表的行(-a:按文本处理二进制文件;353是IRC返回用户列表的状态码)
sed "s/^:irc5.aol.com 353 rgdiuggac @ #x[^x]*x ://g":剔除行首无关前缀(保留纯用户昵称部分) tr ' ' '\n':将空格分隔的用户昵称,转为每行一个
tr -d "\15":删除回车符(\15是 ASCII 回车,清理换行混乱问题)
grep -v "^$":过滤空行
sort -u:排序并去重(-u:保留唯一值)
wc -l:统计最终唯一用户数(输出行数)

7f9a8eb2f98ba7ed5c243cd6812433d4

可得有3461台不同的主机访问了209.196.44.172的僵尸网络。

(5)哪些IP地址被用于攻击蜜罐主机?
输入该命令tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 20232305lgc.txt;wc -l 20232305lgc.txt

其中各个参数的含义为:
tcpdump -n -nn -r botnet_pcap_file.dat:读取数据包文件(-r),不解析域名(-n)、不解析端口名(-nn),只显示 IP 和端口
'dst host 172.16.134.191':过滤目标IP为 172.16.134.191 的流量(即所有发送给该主机的包)
awk -F " " '{print $3}':以空格为分隔符,提取第3列(tcpdump 输出中第 3 列是源 IP: 端口)
cut -d '.' -f 1-4:以点为分隔符,截取前 4 段(剥离端口,保留纯源 IP)
sort:对 IP 排序
uniq:去重(仅保留唯一 IP)
more > 20232305lgc.txt:将去重后的 IP 保存到指定文件(more避免输出刷屏,核心是重定向>)
wc -l 20232305lgc.txt:统计文件行数(即唯一源 IP 数量)

得到共有165个IP被用于攻击主机
1f1f2512c75cbe067d6b5a3dcceb2d69

(6)攻击者尝试攻击了那些安全漏洞?
由前面分析数据包可知,大部分的数据是通过tcp传输的,而大部分的攻击都是通过特定的协议或者端口来尝试攻击的,于是先看看都访问了哪些端口
输入下面命令tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and tcp[tcpflags]== 0x12 | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq

参数含义如下:
tcpdump -r botnet_pcap_file.dat -nn:读取数据包文件(-r),不解析端口名(-nn),只显示 IP 和端口
'src host 172.16.134.191':过滤源 IP 为 172.16.134.191 的流量(即该主机发送的包)
and tcp[tcpflags]== 0x12:进一步过滤 TCP 标志位为 0x12 的包(SYN+ACK,连接响应包)
cut -d ' ' -f 3:以空格为分隔符,提取第 3 列(tcpdump 输出中为目标 IP: 端口)
cut -d '.' -f 5:以点为分隔符,截取第 5 段(从 IP: 端口中提取目标端口)
sort:对提取的端口排序
uniq:去重(仅保留唯一目标端口)

可得与如下端口进行通信链接
e440f82971d1b6e8d0db4e7101e91e4f
对于TCP的分析结果可知,攻击者尝试通过如下端口进行攻击
135:微软DCOM服务端口,常被用于如MS08-067等远程代码执行漏洞的攻击。
139:NetBIOS会话服务端口,涉及SMB协议,是如永恒之蓝(MS17-010)等漏洞的攻击目标。
25:SMTP邮件服务端口,可能存在邮件伪造、中继攻击等漏洞。
445:SMB服务端口,是永恒之蓝等多个高危 SMB 漏洞的核心攻击端口。
4899:远程桌面(RDP)相关端口,可能存在暴力破解、远程代码执行漏洞。
80:HTTP 服务端口,易受Web漏洞,如SQL注入、XSS、文件上传漏洞攻击。

然后打开wireshark中的协议分级,发现还有0.3%的数据包使用了UDP协议,于是输入命令,查看使用了哪个端口。
a812b16b81e8d66481bd42bea783adff
输入tcpdump -r botnet_pcap_file.dat -nn 'src host 172.16.134.191' and udp | cut -d ' ' -f 3 | cut -d '.' -f 5 | sort | uniq
对于UDP的分析结果可知,使用的端口为137(NetBIOS,Windows网络邻居功能)

(7)那些攻击成功了?是如何成功的?
根据以上的端口信息,在wireshark中分析
135端口:
ee4e541edabbed072531d7dd2879f1fd
可见只进行了三次握手后就断开链接,没有其他操作。失败

139端口:
使用ip.addr172.16.134.191 && tcp.port139 && smb进行筛选,筛选139端口下的smb协议数据包,发现攻击者应该是尝试使用暴力破解的方法尝试访问共享目录\PC0191\c。
d07adebab5cff66256796920e2127620
由于当smb会话认证成功时会由nt_status == 0的数据包,因此尝试寻找
e1bbbf03af866e5a0cb23e21b1aeb693
发现并没有成功认证,因此判断失败。

25端口:
3cb3d19a0411669e822123ef02e5c5c3
发现这些数据包仅涉及TCP三次握手和断开的基础流程,没有出现SMTP协议的核心交互,如MAIL FROM、RCPT TO、DATA等邮件发送指令,也没有认证成功、命令注入、邮件伪造等攻击行为的特征。因此判断失败。

445端口:
e8574f82b30da4875840cbcad2bc8f87
可见,在445端口成功建立了tcp链接,在建立链接后,攻击者尝试发送Negotiate Protocol Request来进行SMB协议协商,目标返回响应后,又发起Session Setup AndX Request(会话认证请求),但认证用户为空属于异常行为;不仅如此,攻击者还尝试访问敏感资源并连接\172.16.134.191\IPC$ 共享,请求访问\samr(SAMR 服务,用于读取用户账户信息)。

接着分析得到的数据包,发现攻击者在尝试暴力破解,想要获取GLITTER\TsInternetUser等账户的登录凭证。
image

于是继续往下翻,发现攻击者暴力破解成功
image

这些数据包展示了攻击者向目标主机的\WINNT\System32目录写入多个可执行文件和动态链接库(r_server.exe、raddrv.dll、admdll1.dll)的过程。说明攻击者已经突破了SMB协议的身份认证,获得了目标主机的管理员级权限并能对系统关键目录(如System32)执行文件创建、写入操作。

不仅如此,继续往下翻发现该主机似乎又遭到了来自其他IP的暴力破解,而且似乎都成功了,因为都获得了一定读写文件的权限。

继续往下翻,发现了下面数据包
image
可见攻击者在获得系统权限后,通过SVCCTL协议枚举目标主机的服务列表,查找可利用的服务、确认恶意服务是否成功安装,属于攻击后的数据收集或权限维持环节。
后续还发现了攻击者进行了一些读写操作。综上,攻击成功。

4899端口:
在该端口下发现攻击者成功完成了tcp链接并且在互传数据包,结合之前445端口的成功攻击来看,大概率是攻击者在获得系统权限后,通过RDP协议建立远程桌面会话、进行远程控制。
97a44abece821c21c635ad6142418002

在最后还发现了一些其他的数据包

38e8451a515ac6d4104af2e9ea9dcad1

这些说明攻击者想要通过路径遍历(/cgi/../../../../winnt/system32/cmd.exe)和命令注入(?/c+dir)尝试执行系统命令(dir)。但是目标主机在收到请求后多次重传[FIN, ACK]包(TCP 断开请求),没有返回命令执行结果,说明此次Web命令注入攻击未成功,并且攻击者很可能因为此次敏感操作导致不得不断开链接

综上,攻击成功,但是由于攻击者的不当操作没有保持住控制。

80端口:
首先发现以下比较独特的数据包
image
推测是攻击者发起针对/NULL.IDA路径的请求,带有大量畸形字符(CCCCCCCC...),这是针对IIS服务器的 .ida路径遍历与缓冲区溢出漏洞尝试。但是目标主机返回[RST, ACK](TCP 重置 + 确认)主动断开连接,说明攻击被防御机制拦截,攻击未成功。

后来发现又建立了正常的tcp交互,并且数据包显示这些数据包是正常的Web页面元素加载流量,无攻击行为。猜测是攻击者发现扫描漏洞会被拒绝,所以进行正常的访问,也有可能是已经成功,不过概率比较小。
image

接着往下翻,在大量的正常的网页访问流量后,发现了与之前不一样的数据包
image

可见,攻击者在尝试向目标的80端口发起大量HEAD请求,通过路径遍历/_vti_cnf/../../../../winnt/system32/cmd.exe等文件和命令注入(?/c+dir)尝试执行系统命令(dir),同时还尝试访问win.ini、sam_等敏感文件。
image

基于此,通过筛选器筛选这些数据包ip.addr ==172.16.134.191 && tcp.port == 80 && http && (http.request.method == "HEAD" || http.request.method == "GET") && (http.request.uri contains "..\" || http.request.uri contains "/../" || http.request.uri contains "cmd.exe" || http.request.uri contains "winnt/system32" || http.request.uri contains "win.ini" || http.request.uri contains "sam_")

670619f5182d8844d8b0fe075df95cc8
如图所示,得到了部分数据包,发现攻击者进行了大规模的路径遍历与命令注入攻击尝试,但是我并没有找到明显的攻击成功的数据包。当然也有可能已经成功注入了恶意代码或者后门程序,知识没有明显的可以观测到的证据。

综上,推测攻击失败

UDP137端口:
image
这些数据包都是正常的NetBIOS名称解析通信,无攻击特征。

三、问题及解决方案:

(1)在使用tcpflow时,遇到了如下报错tcpflow: can't parse filter expression: syntax error。我也不知道为什么,关闭虚拟机再重启就好了。

四、心得体会

这次实验首先对几个恶意代码进行了分析,让我掌握了该如何使用IDA Pro这个工具。给我印象深刻的就是其中的string窗口,会打印出来所有能够打印的字符串,基于此我发现了很多有用的信息,为我分析代码的时候节约了很多时间。
在后面主要在使用wireshark分析数据包。开始看到这个数据包文件发现有几万行,就算进行几次筛选也有几千行,让我感到非常绝望,但是通过观察发现到异常的数据包就能够抽丝剥茧地发现问题。比如在后面分析针对445端口的攻击时,能够发现最开始的时候攻击者一直在重复发送暴力破解的数据包,然后一直被拒绝,于是继续往下翻就能看到与之前被拒绝不一样的数据包,然后进行分析发现攻击者已经成功破解。但是在分析80端口的时候就不太一样。因为感觉80端口会有各种各样的数据包经过,并不像之前445端口是SMB协议那样具有共同点。我就很怕漏过了某个很重要的数据包,就只能慢慢看,然后发现攻击者的逻辑和之前差不多,也是先进行一波攻击看看能不能获取权限。然后再进行后续操作。在这里我看到别人的实验报告说没有明显的拒绝就是成功攻击,于是我询问AI想要找到具有攻击成功特征的数据包,始终没有找到。这种说法也无法证伪,所以也令我比较困惑。
综上,这次实验让我对恶意代码和流量分析有了更加具象的认识,让我深刻体会到,网络流量分析是“技术工具+协议知识+攻防思维”的有机结合。攻击者也不是胡乱地使用各种攻击手段直接上的,也是有其内在的逻辑的。未来我将更注重在实践中积累攻防场景经验,培养从蛛丝马迹中挖掘真相的敏锐性,真正实现从“看数据”到“懂数据”的跨越。

posted @ 2025-11-10 21:47  为了你不敢懈怠  阅读(0)  评论(0)    收藏  举报