1.实践内容

2.实践过程

动手实践任务一

对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以获得rada恶意代码的编写作者，具体操作如下：

（1）使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具；
（2）使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理；
（3）使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写作者是谁？

1.使用Windows xp attack虚拟机，使用指令file RaDa.exe查看文件类型，可以得知这是一个带图形化窗口的32位PE文件

2.使用PEiD工具(从网页上下载的v0.95版本)来查壳的类型，可以看到PEiD显示的是一个版本为0.89.6的UPX壳

3.接着用指令strings RaDa.exe，可以发现显示的是乱码，所以我们需要进行一个脱壳的操作

4.接下来完成脱壳操作，使用Windowsxp自带的超级巡警之虚拟机自动脱壳器v1.3软件进行脱壳。
这里也识别出了是一个版本为0.89.6的UPX壳，脱完之后输出为RaDa_unpacked.exe

5.打开IDA Pro Free选择脱壳之后的文件RaDa_unpacked.exe，可以得到作者的信息DataRescue sa/nv和邮箱。

动手实践任务二：分析Crackme程序

任务：在WinXP Attacker虚拟机中使用IDA Pro静态或动态分析crackme1.exe和crackme2.exe，寻找特定的输入，使其能够输出成功信息。
1.首先分析crackme1.exe，在cmd下执行crackme1.exe，发现有不同的响应

2.使用IDA Pro打开crackme1.exe，在string窗口中可以看到有两张反馈是上面我们得到的

3.接下来在view中打开Function Call，可以看到sub_401280函数下的输出，所以重点关注该函数


4.还是在view中打开flow chart，可以找到sub_401280函数，放大后看汇编代码



5.可以看到cmp指令是比较，jmp指令是跳转，如果是FALSE则返回“I THINK U ARE MISSING SOMETHING”,如果是TRUE则接着判断

6.接着是strcmp指令与字符串"I KNOW THE SECRET"相比较，jz跳转。
如果是FALSE就返回"Pardon? What did you say?"如果正确则返回"You know how to speak to programs, Mr.。。。"

7.所以直接输入字符串"I KNOW THE SECRET"即可

8.然后分析crackme2.exe，直接尝试上一个输入，发现不得行

9.同样使用IDA Pro打开crackme2.exe，在string窗口中可以看到有反馈是上面我们得到的

10.接下来还是在view中打开Function Call，可以看到sub_401280函数下的输出，所以还是重点关注该函数


11.还是在view中打开flow chart，可以找到sub_401280函数，放大后看汇编代码


12.可以看到cmp指令是比较，jz指令是跳转，如果是FALSE则返回“I THINK U ARE MISSING SOMETHING”,如果是TRUE则接着判断

13.接着是strcmp指令与程序名相比较，jz指令跳转。

如果是FALSE就返回"I HAVE AN IDENTITY PROBLEM"如果正确则返回"You know how to speak to programs, Mr.。。。"