《逆向工程》项目作业实验报告.doc

第 PAGE 2 页 共 NUMPAGES 2 页 南阳理工学院 逆向工程 《逆向工程》项目作业任务书 一、项目内容 1.逆向分析的意义说明 2.逆向分析目标选取（可以是加解密，脱壳，反调试，协议分析，恶意软件分析等等），分析工具的选用，使用格式 3.逆向分析步骤及方法说明，要有截图 4.逆向分析实现的效果，要有截图 5.逆向分析结论 二、作业要求 作业书写顺序：拟解决问题分析，确立实施目标，实施步骤，结论说明和改进措施。字数不少于5000字，文字图表清晰，排版整齐。不能使用网上复制内容（尤其是图片） 编写大型作业说明书。说明书主要有以下内容： 1）任务书(单独用一页) 2）前言 3）目录 4）方案论证 确定逆向分析方案，工具选择。对拟采用的几种方案进行分析、比较，选择最终方案。 5）测试 通过测试，分析逆向分析方案是否适合设计要求。 6）收获和体会 写出心得体会。 7）主要参考书 前言 恶意软件分析 用于恶意软件的单一术语是恶意软件。由网络犯罪分子设计的恶意程序可以统称为恶意软件。恶意程序通过创建后门入口来窃取个人信息、机密数据等，从而获得对计算设备的访问权。必须对恶意软件进行分析，以了解恶意软件的类型、恶意软件的性质和恶意软件的攻击方法，因为恶意软件攻击是一天一天增加。分析和确定恶意软件的目的和功能的过程称为恶意软件分析。通过恶意软件分析获得的信息可用于开发恶意软件检测技术。 如何进行恶意软件分析 它用于通过提供必要的信息来应对网络入侵。确定究竟发生了什么并定位被恶意软件感染的文件和机器是主要目标。当我们分析受感染的机器或文件时，我们的目标必须是： 了解可疑恶意软件的功能。 如何检测网络中的恶意软件。 确定如何衡量和管理它将造成的损害。 识别受感染的文件后，必须开发签名以检测网络上的恶意软件感染。 基于主机的签名或指标用于检测计算机上的恶意软件。 恶意软件的指标决定了恶意软件对系统的影响。 网络签名或指标用于通过监控网络上的流量来检测恶意软件。 目录 TOC \o 1-3 \h \z \u 第一章 方案论证 6 第二章 程序步骤 8 第三章 分析过程 8 启动部分 8 检测部分 10 彩虹部分 13 func1()，实现乱打开程序和网站 15 func2()，实现鼠标不受控制 15 func3()，键盘消息 16 func4()，发出声音 16 func5()，桌面变色 16 func6()，随机弹窗 17 func7()，图标显示 17 func8()，迭代子窗口 18 func9()，桌面窗口复制显现 18 fun10()，随机复制某块区域 19 MBR部分 19 动调分析 22 部分代码实现 24 第三章 总结及心得 29 第四章 参考文献 30 方案论证 恶意软件 恶意软件是尝试破坏计算机、搜集敏感信息或者非法访问其他计算机的软件, 它对个人隐私信息、商业机密甚至是国家安全都会造成很大的威胁。 2017年WannaCry勒索病毒的爆发，是迄今为止最严重的勒索病毒事件，至少150个国家、30万名用户中招，造成损失达80亿美元;Conficker蠕虫病毒感染数千万台电脑，史上袭击范围最广的Conficker蠕虫病毒曾感染了全球200多个国家的数千万台Windows个人电脑。 恶意行为包括不限于： 文件加密 键盘行为记录 占用CPU 感染其他主机 下载病毒 远程控制 广告软件（adware） 恶意共享软件（malicious shareware） 间谍软件（spyware） 特洛伊木马（简称木马） 计算机蠕虫（简称蠕虫） 后门 逻辑炸弹 挖矿病毒 恶意代码 指没有作用却带来危险的代码，一个安全的定义是应把所有不必要的代码都看作是恶意的，不必要代码比恶意代码具有更广泛的含义，包括所有可能与某个组织安全策略相冲突的软件。 指故意编制或设置的、对网络或系统会产生威胁或潜在威胁的计算机代码。最常见的恶意代码有计算机病毒，蠕虫，木马，后门 恶意软件 指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，侵犯用户合法权益的软件。与病毒或蠕虫不同，这些软件很多不是小团体或者个人秘密地编写和散播，反而有很多知名企业和团体涉嫌此类软件。有时也称作流氓软件。 确定方案 通过微云沙盒跑测试恶意样本，观察样本的运行特征，使用PE查看器查看样本的结构特征，并使用IDA进一步分析样本。 程序步骤 在进行分析之前，先简单的说明一下分析的步骤，一般的病毒分析步骤，如下： 查壳，常见的有upx，ASpack，等等，可以用来实现简单免杀。 行为分析，是否修改注册表，联网，等等，可以在虚拟