恶意代码实验报告

自制恶意程序实验总结1.实践内容一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？二、使用IDA Pro静态或动态分析crackme1.exe与crakeme2.exe，寻找特定输入，使其能够输出成功信息。

三、分析一个自制恶意代码样本rada，并撰写报告，回答以下问题：提供对这个二进制文件的摘要，包括可以帮助识别同一样本的基本信息；找出并解释这个二进制文件的目的；识别并说明这个二进制文件所具有的不同特性；识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术；对这个恶意代码样本进行分类（病毒、蠕虫等），并给出你的理由；给出过去已有的具有相似功能的其他工具；可能调查处这个二进制文件的开发作者吗？如果可以，在什么样的环境和什么样的限定条件下？四、取证分析实践Windows 2000系统被攻破并加入僵尸网络问题：数据源是Snort收集的蜜罐主机5天的网络数据源，并去除了一些不相关的流量，同时IP地址和其他敏感信息被混淆。

回答下列问题：IRC是什么？当IRC客户端申请加入一个IRC网络时将发送那个消息？IRC一般使用那些TCP端口？僵尸网络是什么？僵尸网络通常用于什么？蜜罐主机（IP地址：172.16.134.191）与那些IRC服务器进行了通信？在这段观察期间，多少不同的主机访问了以209.196.44.172为服务器的僵尸网络？哪些IP地址被用于攻击蜜罐主机？攻击者尝试攻击了那些安全漏洞？那些攻击成功了？是如何成功的？2.实践过程一、恶意代码文件类型标识、脱壳与字符串提取对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？首先将实验需要用到的文件复制到kali攻击机中去，并在终端中进入桌面所在的文件夹，使用file RaDa.exe指令来查看此文件文件类型。

《网络攻击与防范》实验报告（２）单击“下一步”按钮·进人如图 4-2 所示的“禁止功能选项”设定界面.根据需要进行设定。

例如。

如果选中“禁止右键菜单”复选框.当运行了该病毒后.右击时将无法弹出快捷菜单。

图 4-2 设置“禁止功能选项”（３）单击“下一步”按钮.进入如图 4-3 所示的“病毒提示对话框”设定界面时。

根据需要设置有关开机时病毒的执行情况。

当选中“设置开机提示对话框”复选框.并设置了提示框标题和内容等后，相关信息将以对话框方式在开机时自动显示图4-3 设置开机时病毒的执行情况（４）单击“下一步”按钮，进入如图 4-4 所示的“病毒传播选项”设定界面,根据需要进行设定。

当选中“通过电子邮件进行自动传播(蠕虫)”复选框时.病毒可以向指定数量的用户发送垃圾邮件。

图4-3 设置开机时病毒的执行情况下一步夏上一步图4-4“病毒传播选项”设定界面（５）单击“下一步”按钮，进入“IE 修改选项”设定界面,根据需要进行设定。

注意.当选中“设置默认主页”复选框后，会弹出“设置主页”对话框,需要读者输人要修改的IE 浏览器主页地址(即每次打开IE 浏览器时默认打开的主页地址).如图 4-5 所示图4-5设置IE浏览器修改选项（6）单击“下一步”按钮，在出现的如图 4-6 所示的对话框中选择所生成的脚本病毒存放的位置,单击“开始制造”按钮,生成病毒文件。

图4-6选择所生成的脚本病毒存放的位置此时,可看到相应路径下,已经生成了脚本病毒文件3.2感染病毒并观察感染后的系统变化情况（１）将生成的脚本病毒文件置于虚拟机中,在其上双击使之运行。

为保证完整准确地查看病毒的感染效果.可重启已经感染了病毒的虚拟机系统。

然后，根据病毒文件生成时的设置，观察系统感染了病毒后的表现情况。

主要操作步骤如下。

（２）观察系统文件夹下的异常变化，可以发现，在 C:\ Windows,C:\Windows\system32下多了不明来源的脚本文件。

恶意代码检测技术研究随着计算机技术的迅猛发展，人们的生活越来越离不开计算机和互联网。

然而，计算机和互联网也带来了各种各样的安全问题。

其中最为严重的就是恶意代码的威胁。

恶意代码可以在用户无意中接触到的情况下入侵计算机系统，窃取用户隐私信息，破坏数据安全，危害计算机安全。

因此，恶意代码的检测和清理成为计算机安全的重要组成部分。

恶意代码（malware）是指一种与正常应用软件功能相反或者存在安全漏洞的程序，它通常会通过病毒、木马、蠕虫等各种形式潜入用户的计算机系统。

传统的恶意代码检测方法主要采用特征分析法和行为分析法，这两种方法都有各自的优缺点。

特征分析法主要是基于恶意代码的特征，从中找到与正常应用软件较大区别的节点。

这种方法易于实现，但往往存在漏报和误报问题，因为恶意代码往往采用变异技术，使自己难以被识别，而且特征分析法可能会造成误报，即将正常应用软件误判为恶意代码。

行为分析法是通过对恶意代码运行时的行为进行分析，来判断它是否是恶意代码。

这种方法可以较好地检测已知的恶意代码，但对于新的恶意代码，行为分析法一般不能很好地检测出来。

基于此，新兴的恶意代码检测技术突破了这两种方法的限制，通过结合机器学习、人工智能、大数据分析等技术，实现了更为准确和全面的恶意代码检测。

机器学习技术在恶意代码检测中的应用较为广泛。

机器学习技术可以通过分析恶意代码和正常软件的特征，建立模型进行分类，更好地区分恶意代码和正常软件。

机器学习技术有多种应用方法，其中包括决策树、朴素贝叶斯、支持向量机、神经网络等。

这些方法可以根据不同的数据类型和规模选择适当的算法进行预测和分类。

人工智能技术的应用也成为恶意代码检测中的一种重要方法。

人工智能技术主要包括深度学习、自然语言处理、图像处理等技术。

这些技术都有着相当高的准确性和计算复杂度。

尤其是深度学习技术，其在物体识别、图像识别等方面的准确性非常高，在恶意代码检测领域得到了广泛应用。

大数据分析技术是指通过对大规模数据进行收集、处理和分析，提取出数据的信息和关系，并对数据进行挖掘和建模，以实现对恶意代码的检测和预测。

一、查看计算机的端口在命令提示窗口中输入：netstat –a –n可以看到如下内容：Proto：代表协议类型，上图为TCP和UDP两种协议。

Local Address：代表本地计算机的IP地址和连接正在使用的端口号。

Foreign Address：代表连接本地计算机短裤的远程计算机的IP地址和端口号。

如果正和其他计算机进行通信，显示的就是对方计算机的地址。

State：代表运行状态，显示“listening”表示处于监听状态，说明该端口是开放的，正在等待连接，但是还没有被连接。

只有TCP的服务端口才能处于“listening”状态。

显示为“SYS_SENT”状态，表示本机正在向其他计算机发出连接请求，一般这个状态存在的时间很短，当用户要访问其他计算机的服务时首先要发送一个同步信号给该计算机的服务端口，此时就为“SYS_SENT”状态。

如果连接成功就变为“ESTABLISHED”状态，因此，“SYS_SENT”状态非常短暂，但是如果发现“SYS_SENT”状态非常多而且在向多个不同的地址发送信号，那么用户的计算机很可能中了冲击波或者震荡波之类的病毒。

这类病毒为了感染别的计算机，就会不停的进行扫描，在扫描过程中对每个要扫描的计算机都会发出同步请求，这就是同时出现很多“SYS_SENT”状态的原因。

ESTABLISHED：表示两个地址已经建立了连接，正在进行通信。

如果用户访问的网站中又许多内容，就会发现一个地址对应多个“ESTABLISHED”状态，这是正常的，英文网站中得每个内容，比如图片、FLASH等都要单独建立一个连接，如果用户关闭了所以访问的网页及其连接程序，然后多次在命令窗口中运行“netstat -a -n ”命令，始终有访问同一个网络IP地址的连接处于ESTABLISHED状态，则可能中了木马。

TIMA_W AIT：表示结束本次连接，说明端口曾经有过访问。

CLOSE_W AIT：表示结束等待。

恶意代码检测报告摘要本文档旨在对恶意代码检测进行详细介绍和分析。

首先，我们将定义恶意代码，并讨论其危害和常见类型。

接着，我们将介绍恶意代码检测的基本原理和技术。

最后，我们将探讨当前恶意代码检测面临的挑战以及未来的发展方向。

1. 引言恶意代码是指具有恶意目的而编写的计算机程序。

这些程序通常会在用户不知情的情况下执行某些危害性操作，例如窃取个人信息、破坏系统稳定性、传播自身等。

恶意代码的出现给个人用户、企业网络以及整个互联网带来了巨大的安全威胁。

2. 恶意代码的危害和常见类型恶意代码的危害多种多样，以下是一些常见的恶意代码类型及其危害：- 病毒：病毒是一种可以在感染其他文件后进行自我复制的恶意代码。

它们可以通过邮件附件、可移动存储介质等途径传播，并可能破坏被感染系统的文件或系统。

- 木马：木马是指通过伪装成正常程序或文件隐藏在系统中，以便攻击者通过远程控制操作被感染的系统。

攻击者可以利用木马程序窃取用户的敏感信息或执行其他恶意操作。

- 蠕虫：蠕虫是一种利用计算机网络自动传播的恶意代码。

它们可以在无需用户干预的情况下自我复制和传播，造成大规模网络拥塞和系统负载过重。

- 间谍软件：间谍软件通过在用户计算机上记录和窃取用户的敏感信息，如浏览习惯、登录凭证、银行信息等。

这些信息可以被用于非法活动或者出售给有意图的第三方。

- 勒索软件：勒索软件会加密用户文件或限制用户访问计算机系统，并要求用户支付赎金以解锁。

这种恶意代码已经成为现代网络威胁的主要组成部分。

3. 恶意代码检测技术恶意代码检测技术是保护用户和企业免受恶意代码攻击的重要手段。

以下是一些常见的恶意代码检测技术： - 签名检测：签名检测是一种基于已知恶意代码样本的检测方法。

它将恶意代码样本的特征（即签名）与目标文件进行比对，如果存在匹配，则判定为恶意代码。

这种方法的缺点是无法检测未知的恶意代码。

- 行为分析：行为分析是一种动态监视程序行为的技术。

网络安全中的恶意代码检测与防御研究在当今数字时代，互联网的普及和快速发展给人们的生活和工作带来了极大的便利，但与此同时，网络安全问题也日益凸显。

恶意代码作为网络攻击的重要手段之一，给互联网用户的隐私和财产造成了巨大风险。

因此，研究和开发有效的恶意代码检测与防御技术，成为了当前网络安全领域的迫切任务。

一、恶意代码的定义与分类恶意代码（Malicious Code）是指一类具有恶意目的，通过植入到正常的计算机程序中进行危害的代码。

根据其传播方式和攻击目标的不同，可以将恶意代码分为病毒（Virus）、蠕虫（Worm）、木马（Trojan Horse）、间谍软件（Spyware）等多种类型。

二、恶意代码的检测方法针对不同的恶意代码类型，可以采用不同的检测方法。

1. 签名检测（Signature-based Detection）签名检测是使用已知的恶意代码的特征进行检测的方法。

通过对恶意代码进行特征提取，并建立相应的特征库，当计算机系统中的文件与特征库中的恶意代码特征匹配时，即可判断存在恶意代码。

然而，签名检测只能对已经被发现的恶意代码进行检测，无法应对新型恶意代码的威胁。

2. 行为检测（Behavior-based Detection）行为检测是对程序运行中的异常行为进行检测的方法。

该方法不依赖于已知的恶意代码特征，而是通过监控程序的执行行为，判断是否存在恶意行为，如文件的修改、网络连接等。

由于恶意代码通常具有明显的异常行为，行为检测可以有效检测并防范未知的恶意代码。

3. 启发式检测（Heuristic Detection）启发式检测是通过对潜在的恶意代码行为进行模拟和分析，来判断是否存在恶意代码。

根据恶意代码的特点和行为规律，设计相应的启发规则，对可疑文件进行分析和判断。

启发式检测可以有效应对变种的恶意代码，但也容易产生误报情况。

三、恶意代码的防御对策1. 安装杀毒软件安装可靠的杀毒软件是防范恶意代码的首要措施。

实验四恶意代码攻防实验【实验目的】通过本实验初步了解远程控制软件的编写方法，了解黑客利用流行的木马软件进行远程监控和攻击的方法，掌握常见工具的基本应用，包括如下几个方面：✓掌握基于Socket的网络编程。

✓了解缓冲区溢出攻击的基本实现方法。

✓了解恶意脚本攻击的基本实现方法。

✓了解网络病毒的基本特性。

实验过程中，学生需要将实验的结果记录下来，并回答相关思考题，填写到实验报告中。

【实验类型】综合型实验【实验内容】以下实验内容可根据实验室的具体情况和课时安排的变化进行适当的调整，实验内容中的思考题以书面形式解答并附在实验报告的后面。

需要注意的是，学生在实验过程中要严格按实验指导书的操作步骤和要求操作，且小组成员应紧密配合，以保证实验过程能够顺利完成。

本次实验的主要项目包括以下几个方面：☑溢出攻击模拟程序的编写、调试；☑跨站恶意脚本的运用；☑网页脚本攻击。

具体的实验内容和步骤如下：【实验环境】实验设备：Windows XP系统，VMWare系统，Windows 2000/XP虚拟机。

一、缓冲区溢出攻击编写简单的溢出攻击程序，编译后分别在实验主机和虚拟机中运行。

1．简单原理示例VC环境下编译以下代码：#include <stdio.h>#include <string.h>char name[]="abcdefghijklmnopqrstuvwxyz";int main() {char buffer[8];strcpy(buffer,name);return 0;}运行编译后的程序，会出现系统下图警告，点击“调试”按钮，根据返回的偏移值可推断出溢出的部位。

2．溢出攻击模拟示例实验需要使用以下工具：●OllyDB●Uedit首先写一个C++程序2.c，源码：#include "iostream.h"int main ( ){char name[8];cout<<"Please type your name: ";cin>>name;cout<<"Hello, ";cout<< name;cout<<"\n";return 0;}赋值一个名为name的字符类型数组（字符串），其内容空间为8个字节，运行程序时首先提示使用者输入你的名字，当输入后将该值吸入给name，然后以“Hello，你的名字\n”的方式输出。

恶意代码实验报告班级：10网工三班学生姓名：谢昊天学号：1215134046实验目的和要求：1、了解恶意代码的实现机理；2、了解常见恶意代码的编写原理；3、掌握常见恶意代码运行机制；实验内容与分析设计：1.通过Java Script、Applet、ActiveX（三者选一）编辑的脚本程序修改IE浏览器：（1）默认主页被修改；（2）IE标题栏被添加非法信息；2、编写一个脚本病毒，扫描是否存在U盘，如果存在，将自己写到U盘上，同时写一个调用自己的AutoRun.inf文件到U盘。

实验步骤与调试过程：1．U盘病毒：（1）U盘病毒是借助windows自动播放的特性，让用户双击盘符时就可以立即激活制定的病毒。

病毒首先将u盘写入病毒程序，然后更改病毒文件。

如果病毒文件指向了病毒程序，那么windows就会运行这个程序引发病毒。

一般病毒还会检测插入的u盘，并对其实行上述操作。

编写一个脚本病毒，扫描是否存在U盘，如果存在，将自己写到U盘上，同时写一个调用自己的AutoRun.inf文件到U盘。

（2）编写好的程序，如果发现U盘就复制自己，如果U盘上呗激活了，就把自己复制到系统文件夹。

（3）编写代码实现如下功能：①.得到盘符类型；②.判断是否是可移动存储设备；③.得到自身文件路径；④.比较是否和U盘的盘符相同；⑤.如果相同说明在U盘上执行,复制到系统中去；⑥.得到系统目录；⑦.把自身文件复制到系统目录；⑧.如果不是则U盘上执行,则感染U盘；⑨.还原U盘上的文件属性；⑩.删除原有文件；○11.写AutoRun.inf到U盘；○12.拷贝自身文件到U盘；○13.把这两个文件设置成系统，隐藏属性；○14.休眠60秒，60检测一次。

2．浏览器恶意代码：(1).在运行中输入regedit，可以进入注册表。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft Explorer中有相关配置。

要重新设置浏览器的默认页在Main下的Default_Page_URL中修改即可。