20199310 2019-2020-2 《網絡攻防實踐》第9周做業

時間 2020-04-30

原文原文鏈接

做業課程：	https://edu.cnblogs.com/campus/besti/19attackdefense
做業要求：	https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10695
課程目標：	學習《網絡攻防技術與實踐》教材第九章，並完成課後做業
本次做業實現目標：	學習惡意代碼安全攻防

做業正文:

1 知識點梳理

1.1 惡意代碼

惡意代碼：使計算機按照攻擊者的意圖執行以達到惡意目標的指令集，不必定使二進制執行文件，也可使腳本語言代碼、宏代碼，或者是寄生在其餘代碼或啓動山區中的一段指令流。
惡意代碼類型、特性及典型實例：
html

惡意代碼命名規則：[惡意代碼類型.]惡意代碼家族名稱[.變種號]
多維度標籤的惡意代碼技術形態分類方法：
傳播：病毒（寄生感染），蠕蟲（網絡傳播），郵件蠕蟲（郵件傳播），特洛伊木馬（假裝感染），網頁木馬（網頁攻擊感染）
控制：後門（一對一控制），殭屍程序（一對多控制）
隱藏：內核Rootkit（內核隱藏），用戶Rootkit（應用隱藏）
攻擊：DDoS工具（DDoS攻擊），Spyware（信息竊取），ClickBot（單擊欺詐）ios

計算機病毒

計算機病毒(Computer Virus)：一種可以自我複製的代碼，經過將自身嵌入其餘程序進行感染，而感染過程一般須要人工干預才能完成。
三種可執行文件的感染方式：前綴感染機制，後綴感染機制和插入感染機制
前綴感染機制:指的是病毒將自身複製到宿主程序的開始，當宿主程序被執行時，操做系統首先會運行病毒代碼，大多數狀況下，病毒在判斷其觸發條件是否知足後會將控制權轉交給宿主程序，因此用戶很難感受到病毒的存在;
後綴感染機制:指的是病毒將自身複製到宿主程序的末端，而後經過修改宿主程序開始時的指令，加入一條跳轉指令，使得在宿主程序執行時首先跳轉到病毒代碼，執行完病毒代碼後再經過一條跳轉指令繼續執行宿主程序;
中間插入感染機制:指的是病毒在感染宿主程序時，能把它攔腰截斷，把病毒代碼放在宿主程序的中間。中間插入感染機制可以經過零長度插入技術等使得病毒更加隱蔽，但該機制須要階段宿主程序時的位置要恰當，須要保證病毒可以首先得到控制權，並且病毒不能被卡死，宿主程序也不能因病毒的插入而不能正常工做，所以編寫此類病毒須要高超的技巧。
計算機病毒的傳播渠道：移動存儲、電子郵件及下載、共享目錄等。web

網絡蠕蟲

蠕蟲(Worm)：自我複製機制與計算機病毒相似，但蠕蟲是一類自主運行的惡意代碼，並不須要將自身嵌入到其餘宿主程序中。蠕蟲一般經過修改操做系統相關配置，使其可以在系統啓動時得以運行。蠕蟲通常經過主動掃描和攻擊網絡服務的漏洞進行傳播，通常不須要人工干預。
基本特性：網絡蠕蟲和計算機病毒都有感染和自我複製的特性，並且網絡蠕蟲經過網絡的自主傳播無需人爲干預，計算機病毒特性在於感染宿主，包括可執行文件、數據文檔或磁盤引導刪去，蠕蟲病毒沒有必要感染宿主，大多數病毒則須要用戶運行一個程序或瀏覽一個文件。

網絡蠕蟲的組成結構：相似導彈，彈頭用來穿透目標，傳播引擎驅動導彈飛向它的目標，目標選擇算法和掃描引擎用來引導導彈發現和指向它的目標，有效在和倉中攜帶了執行真正破壞性攻擊的惡性材料。算法

後門與木馬：

後門(Backdoor)：是指一類可以繞開正常的安全控制機制，從而爲攻擊者提供訪問途徑的一類惡意代碼。攻擊者能夠經過使用後門工具對目標主機進行徹底控制，著名的後門工具包括Netcat、Back Orifice、Linux Root Kit和我國自行開發的冰河等。
特洛伊木馬(Trojan Horse)：是一類假裝成有用的軟件，但隱藏其惡意目標的惡意代碼。後門和特洛伊木馬兩個概念常常混淆，後門僅爲攻擊者給出非法訪問途徑，而特洛伊木馬的特徵則在於假裝性。固然，許多工具融合了後門和特洛伊木馬二者的特性，即攻擊者將後門工具假裝成善意的軟件，誘導用戶安裝從而爲其給出訪問權，此類工具可稱爲木馬後門。windows

基本特徵：後門和木馬是惡意代碼中常常被混淆的兩類技術形態，在實際的樣本實例中也每每融合在一塊兒使用。從定義特性上進行分析，後門是容許攻擊者繞過系統常規安全控制機制的程序，可以按照攻擊者本身的意圖提供訪問通道;而木馬做爲特洛伊木馬的簡稱，是指類看起來具備某個有用或善意目的，但實際掩蓋着一些隱藏惡意功能的程序。錯誤的觀點是將後門和木馬等同，將提供對受害計算機遠程控制的任何程序或受害計算機上的遠程命令行解釋器均視爲木馬:而根據定義特性，它們應被視爲後門，但若是將後門工具假裝成良性程序，這才具有真正的木馬特徵。欺騙用戶或系統管理員安裝特洛伊木馬程序，這樣木馬程序就經過毫無戒備的用戶進入到計算機系統中: 隱藏在計算機的正常程序中，將本身假裝成看起來屬於該系統，使得用戶和管理員不會覺察到它的存在，一般與後門工具結合，成爲木馬後門。sass

僵屍網絡和程序：

僵屍網絡(Botnet)：是攻擊者(稱爲botmaster)出於惡意目的，傳播殭屍程序控制大量主機，並經過一對多的命令與控制信道所組成的攻擊網絡。僵屍網絡區別於其餘攻擊方式的基本特性是使用一對多的命令與控制機制，此外也具備惡意性和網絡傳播特性。
殭屍程序(Bot)：是用於構建僵屍網絡以造成一對多控制攻擊平臺的惡意代碼形態。內核套件(Rootkit)是在用戶態經過替換或修改系統關鍵可執行文件，或者在內核態經過控制操做系統內核，用以獲取並保持最高控制權(root access)的一類惡意代碼，又分爲用戶態Rootkit和內核態Rootkit兩種。
基本特徵：殭屍程序一般也會攜帶滲透攻擊「彈頭」經過利用網絡服務漏洞進行網絡傳播，但它與蠕蟲的區別在因而否受控，蠕蟲通常都是自主傳播方式，而殭屍程序則是接受控制後進行攻擊和傳播;殭屍程序爲了隱藏自身在受害主機上的存在，會採用--些假裝和欺騙機制，此時也具備特洛伊木馬特性，但這並不是殭屍程序必有的特徵:與後門工具相似，殭屍程序也會爲攻擊者提供對受害主機的遠程控制，如在受害主機上執行特定指令，或下載安裝一些惡意程序，但它與後門工具的區別在於控制機制的差別，後門一般提供一對- -的控制，而殭屍程序可以爲攻擊者提供更靈活的一對多的控制機制。所以咱們定義，僵屍網絡是指攻擊者(稱爲botmaster) 出於惡意目的，傳播殭屍程序控制大量主機，並經過一對多的命令與控制信道所組成的網絡。僵屍網絡區別於其餘攻擊方式的基本特性是使用一-對多的命令與控制機制，另外，僵屍網絡還具備惡意性和網絡傳播性。
殭屍程序的功能組成結構：
安全

Rootkit：

Rootkit：是一種特殊的惡意軟件，它的功能是在安裝目標上隱藏自身及指定的文件、進程和網絡連接等信息，比較多見到的是Rootkit通常都和木馬、後門等其餘惡意程序結合使用。
基本特徵：正如Rootkit定義中所明確指出的，首先，它屬於特洛伊木馬的範疇，它獲取運行在目標計算機上與操做系統相關聯的常規程序，並用惡意版本替換它們:惡意的Rootkit 程序將自身假裝成恰當且普通的程序，爲的就是掩蓋其真正的惡意目的，而這種假裝和隱藏機制正是特洛伊木馬的定義特性;此外，Rootkit 還做爲後門行使其職能，各類Rootkit經過後門口令、遠程Shell或其餘可能的後門]途徑，爲攻擊者提供繞過正常機制的後門]訪問通道，而這正是後門工具的定義特性。做爲一類特殊形態的木馬後門工具，一個惡意代碼之因此可以被稱爲Rookit,就必須具有替換或修改現有操做系統軟件進行隱藏的特性，而這纔是Rootkit的定義特性。
服務器

2 實驗內容

2.1 代碼分析

惡意代碼分析：按需求使用必定的規則、方法和工具對計算機程序進行分析，以推導出其程序結構、數據流程和程序行爲的處理過程。利用一些列的程序分析技術方法、流程和工具，來識別惡意代碼關鍵程序結構和行爲特徵的過程。
惡意代碼分析的技術方法主要包括靜態分析和動態分析兩大類。靜態代碼分析方法在不實際執行軟件代碼狀況下對惡意代碼進行自動化或輔助分析，一般包括使用反病毒引擎掃描識別已知的惡意代碼家族和變種，逆向分析獲取惡意代碼的關鍵程序信息、模塊構成、內部數據結構和關鍵控制流程，理解惡意代碼的機理，並提取特徵碼用於檢測。動態代碼分析方法則經過在受控環境中執行待分析的目標惡意代碼，並利用系統、網絡、甚至指令層次上的監控技術手段，來獲取目標代碼的行爲機理和運行結果。
靜態分析主要手段：

動態分析主要手段：
網絡

動手實踐：惡意代碼文件類型識別、脫殼與字符串提取

實踐任務:對提供的rada惡意代碼樣本，進行文件類型識別，脫殼與字符串提取，以得到rada惡意代碼的編寫做者，具體操做以下。數據結構

(1)使用文件格式和類型識別工具，給出rada惡意代碼樣本的文件格式、運行平臺和加殼工具。
首先使用file來是獲取文件格式和運行平臺，是基於80386型號的CPU，windows操做系統。

爲了獲取文件文本內容，這裏能夠直接使用strings rada.exe，可是這裏發現是亂碼，說明該文件有進行加殼處理：

還有一種獲取文件文本內容的方法是先運行該程序，而後在process explorer上讀取進程Strings信息：

(2)使用超級巡警脫殼機等脫殼軟件，對rada惡意代碼樣本進行脫殼處理。
爲了獲取加殼信息，這裏使用在C:\FileDetector\PFiD下打開PEiD工具，這裏能夠看到加殼相關工具：

而後用脫殼器進行脫殼文件目錄下會出現一個rada_unpacked.exe文件，也就是脫殼文件：

(3)使用字符串提取工具，對脫殼後的rada惡意代碼樣本進行分析，從中發現rada惡意代碼的編寫做者是誰?
這時再用PEiD打開發現當前編譯工具使用時VB5.0/6.0:

咱們在用上面講的兩種方法讀取文本內容，能夠看到文本內容已經沒有亂碼：

動手實踐：分析Crackme程序

實踐挑戰:使用IDA Pro靜態或動態分析crackme1.exe與crackme2.exe，尋找特定的輸入，使其可以輸出成功信息。
這裏一共有兩個須要破解程序，咱們能夠用file查看文件格式和運行平臺：

首先要猜想須要輸入的參數個數，這裏咱們從0個參數開始，依次測試不一樣參數個數的輸出

而後咱們使用IDA工具開始反編譯,該程序在路徑C:\Disassemble\IDA Free\idag.exe下：

這裏先查看程序中明文字符串Strings window，能夠發現前四個中有兩項輸出記錄下來了，猜想第2條是密碼，第四條是破解成功的提示語：

將窗口切換到彙編語言窗口IDA View-A,在菜單欄中View-Graphs-Function calls依次點開查看函數結構：

這裏定位到sub_401280是主要的邏輯函數：

咱們在Functions window中定位該函數：

而後看到具體的彙編內容：

這裏主要推測的依據是不一樣邏輯判斷後程序的提示語：

此時，咱們能夠推測輸出正確輸入應該爲"I know the secret",因爲是字符串變量，這裏必需要加"：

對於crackme2.exe採用相同的方法，首先測試其參數：

能夠推測出正確參數個數爲1，而後在IDA中打開，查看不一樣的字符串輸出，這裏一共有五種，1和3已經出現，剩下三條中應該是包括輸入和輸出的信息：

咱們依據一樣的分析方法打開函數結構圖：

其中定位到比較關鍵的sub_401280函數：

以及它以後的判斷分支：

根據分析，咱們應該將原文件重命名爲crackmeplease.exe，而後顯示出Pardon？What did you say？，這說明咱們已經離正確輸出很近了，而後就是修改制定的密文爲:I have the secret"，就能夠輸出正確答案：

3.實踐做業

樣本分析實踐:分析一個自制惡意代碼樣本rada,並撰寫分析報告

本次實踐做業的任務是分析一個自制的惡意代碼樣本，以提升對惡意代碼逆向工程分析技術的認識，並提升逆向工程分析的方法、工具和技術。
關於這個二進制文件,咱們建立它的目的是爲了提升安全業界對惡意代碼樣本的認識, 並指出爲對抗如今的惡意代碼威脅發展更多防護技術的必要性。你做爲一名安全事件處理者的任務(若是你接受的話)就是深刻分析這個二進制文件，並得到儘量多的信息，包括它是如何工做的，它的目的以及具備的能力，最爲重要的，請展現你獲取全部信息所採起的惡意代碼分析技術。
待分析二進制文件位置:rada.zip，警告這個二進制文件是一個惡意代碼，所以你必須採用一些預防措施來保證業務系統不被感染，建議在一個封閉受控的系統或網絡中處理這個未知的實驗品。

文件分析：
打開wireshark和已經脫殼的rada_unpacked.exe，在進程探測器中點擊運行的進程，能夠看到該二進制文件的編碼字符串內容，當惡意程序打開後或以http協議與目標地址10.10.10.10的RaDa_commands.html進行鏈接，在本機目錄下會新建tmp和bin兩個文件夾，註冊表也會有改變：

在wireshark上發現大量發現10.10.10.10的TCP數據包：

可是追蹤上述TCP數據包並無發現內容,推測這裏開啓DDoS拒絕服務遠程攻擊，在註冊表編輯器中，增長了bin/目錄下的RaDa.exe，說明該程序已經成爲自動啓動項：

用IDA對脫殼後的二進制文件進行反編譯，首先查找它的string，這裏須要把type改爲unicode：

這裏顯示調用了不少命令行參數，參考了其餘同窗的博客內容，大概整理了有如下這些：

參數	做用
--verbose	顯示Starting DDoS Smurf remote attack
--visible	決定在獲取html文件時，IE窗口是否可見
--server	指定命令文件控制服務器的ip地址、訪問協議及目錄等，默認是http://.10/RaDa
--commands	指定命令文件，默認是RaDa_commands.html
--cgipath	指定服務器上cgi文件的根目錄，默認是cgi-bin
--cgiget	指定負責文件上傳的cgi腳本，默認是upload.cgi
--cgiput	指定負責文件下載的cgi腳本，默認是download.cgi
--tmpdir	指定臨時文件夾的位置，默認是C:\RaDa\tmp
--period	指定兩次向服務器請求命令文件的時間間隔，默認是60秒
--cycles	指定多少次向服務器請求命令文件後退出，默認是0(沒有限制)
--help	輸出版權信息
--gui	使用該參數會使樣本出現一個GUI窗口
--installdir	指定樣本的安裝路徑，默認是C:\RaDa\bin
--noinstall	使用該參數，樣本將不會安裝、也不會添加註冊表
--uninstall	卸載樣本
--authors	若是確認不是在VMware的虛擬機中運行，則顯示樣本的做者;不然顯示參數不存在

而後往下找，發現三個網段，10開頭的網段讓我想到了目標IP地址10.10.10.10，這裏應該是確保本地鏈接至目標IP網段內網，而後獲取一些指令：

經常使用獲取的指令有exe, get，put，screenshot，sleep等，其中exe在宿主主機中執行指定的命令，put將宿主主機中的指定文件上傳到服務器。get將服務器中的指定文件下載到宿主主機中，screenshot截取宿主主機的屏幕並保存到tmp文件夾，sleep中止活動一段時間：

回答問題：
1.提供對這個二進制文件的摘要，包括能夠幫助識別同同樣本的基本信息。
MD5摘要信息：

PE格式：

能夠運行在Windows系統上運行，支持的cpu型號是80386,32位，根據以前的靜態分析的內容，該二進制文件進行了加殼處理。

2.找出並解釋這個二進制文件的目的。
這個二進制文件經過鏈接互聯網與攻擊機取得會話鏈接，而後進行攻擊，不具有自主傳播，能夠排除是蠕蟲或者病毒，推測是後門程序或者殭屍程序。

3.識別並說明這個二進制文件所具備的不一樣特性。
RaDa.exe被執行時，將在該目錄下新建bin和tmp文件，其中bin目錄下的二進制文件修改註冊表，自動隨虛擬機開啓，而後從指定的目標服務器請求web頁面，獲取指令和參數。

4.識別並解釋這個二進制文件中所採用的防止被分析或逆向工程的技術。
經過脫殼先後的字符串對比，肯定這個文件採起了UPX加殼，不通過脫殼處理沒法解析反編譯，由於產生的都是亂碼。

5.對這個惡意代碼樣本進行分類(病毒、蠕蟲等)，並給出你的理由。
該程序並未進行自我複製和傳播，不符合蠕蟲和病毒的特徵，也沒有假裝成其餘形式的文件，也不是木馬，因此多是一個後門程序或者殭屍程序。

6.給出過去已有的具備類似功能的其餘工具。
相似的好比上週實驗中使用的用msfvenom命令生成後門文件，經過寫入攻擊機IP和端口的二進制文件，靶機能夠直接被攻擊機經過multi/handler模塊直接鏈接。

獎勵問題:
7.可能調查出這個二進制文件的開發做者嗎?若是能夠，在什麼樣的環境和什麼樣的限定條件下?
能夠找到該二進制文件的開發者，必須對該二進制文件脫殼，而後經過process explorer進行進程查看，其中字符串內容中有顯示開發者：

取證分析實踐: Windows 2000系統被攻陷並加入僵屍網絡

案例分析挑戰內容:
在2003年3月初，Azusa Pacific大學蜜網項目組部署了一個未打任何補丁的Windows2000蜜罐主機，而且設置了一個空的管理員密碼。在運營的第-一個星期內，這臺蜜罐主機就頻繁地被攻擊者和蠕蟲經過利用幾個不一樣的安全漏洞攻陷。在一次成功的攻擊以後，蜜罐主機加入到一個龐大的僵屍網絡中，在蜜罐主機運營期間，共發現了15164個不一樣主機加入了這個僵屍網絡。此次案例分析的數據源是用Snort工具收集的該蜜罐主機5天的網絡流日誌，並經過編輯去除了一些不相關的流量並將其組合到了單獨的一個二進制網絡日誌文件中，同時IP地址和一些其餘的特定敏感信息都已經被混淆以隱藏蜜罐主機的實際身份和位置。你的任務是分析這個日誌文件並回答如下給出的問題。.

1.IRC是什麼?當IRC客戶端申請加入一個IRC網絡時將發送哪一個消息? IRC通常使用哪些TCP端口?
IRC:因特網中繼聊天（Internet Relay Chat），通常稱爲互聯網中繼聊天。IRC的工做原理很是簡單，您只要在本身的PC上運行客戶端軟件，而後經過因特網以IRC協議鏈接到一臺IRC服務器上便可。它的特色是速度很是之快，聊天時幾乎沒有延遲的現象，而且只佔用很小的帶寬資源。全部用戶能夠在一個被稱爲\"Channel\"（頻道）的地方就某一話題進行交談或密談。每一個IRC的使用者都有一個Nickname（暱稱）。
申請加入一個IRC網絡時會發送服務器的域名，TCP申請端口和暱稱，通常端口號爲6667，或者6660-6669範圍的端口，該端口爲明文傳輸，SSL加密傳輸在6697端口。

2.僵屍網絡是什麼?僵屍網絡一般用於什麼?
僵屍網絡：攻擊者經過各類途徑傳播殭屍程序感染互聯網上的大量主機，而被感染的主機將經過一個控制信道接收攻擊者的指令，組成一個僵屍網絡。衆多的計算機在不知不覺中如同殭屍羣同樣被人驅趕和指揮着，成爲被人利用的一種工具，常見的僵屍網絡攻擊如分佈式拒絕服務攻擊（DDoS）、海量郵件垃圾等，黑客還能夠控制和利用這些網絡中主機所保存的信息。

3.蜜罐主機(IP地址: 172.16.134.191) 與哪些IRC服務器進行了通訊?
已知蜜罐主機IP和IRC服務的經常使用端口6667，咱們經過ip.src == 172.16.134.191 && tcp.dstport == 6667來查找目標服務器IP地址，主要有63.241.174.144,217.199.175.10,209.126.161.29,66.33.65.58,209.196.44.172：

4.在這段觀察期間，多少不一樣的主機訪問了以209.196.44.172爲服務器的僵屍網絡?
這裏須要用到tcpflow這個命令，首先有關apt-get install tcpflow進行安裝，而後執行tcpflow -r botnet_pcap_file.dat 'host 209.196.44.172 and port 6667'，會生成172.016.134.191.01152-209.196.044.172.06667,209.196.044.172.06667-172.016.134.191.01152和report.xml三個文件，在report.xml文件中顯示了：

<configuration>
    <fileobject>
      <filename>209.196.044.172.06667-172.016.134.191.01152</filename>
      <filesize>1082018</filesize>
      <tcpflow startime='2003-03-06T04:23:18.829879Z' endtime='2003-03-06T08:27:57.736205Z' mac_daddr='00:05:69:00:01:e2' mac_saddr='00:e0:b6:05:ce:0a' family='2' src_ipn='209.196.44.172' dst_ipn='172.16.134.191' srcport='6667' dstport='1152' packets='9798' out_of_order_count='223' len='1630694' />
    </fileobject>
    <fileobject>
      <filename>172.016.134.191.01152-209.196.044.172.06667</filename>
      <filesize>1046</filesize>
      <tcpflow startime='2003-03-06T04:23:18.775202Z' endtime='2003-03-06T08:27:57.867166Z' mac_daddr='00:e0:b6:05:ce:0a' mac_saddr='00:05:69:00:01:e2' family='2' src_ipn='172.16.134.191' dst_ipn='209.196.44.172' srcport='1152' dstport='6667' packets='8902' len='536112' />
    </fileobject>
  </configuration>

這裏一部分是從目標服務器發送出來的，一部分是從其餘主機發送到目標主機的，統計獲得主機個數爲3457：

5.哪些IP地址被用於攻擊蜜罐主機?
首先，咱們利用tcpdump指定IP地址收集被攻擊的端口寫入1.txt，而後執行tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | grep -v 'reply' | cut -d '.' -f 10 | cut -d ':' -f 1 | sort | uniq | more >1.txt; wc -l 1.txt統計個數：

咱們經過snort獲取全部可能連接的主機IP地址，將內容輸出到2.txt,能夠看到一共有165行共計165個：
tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 2.txt;wc -l 2.txt:

6.攻擊者嘗試攻擊了哪些安全漏洞?
首先用snort統計一下網絡流量包分佈狀況：

以上能夠看出大部分爲tcp數據包，少部分爲udp數據包，而後咱們分別篩選這兩種端口：

輸出能夠看到 TCP 響應端口爲135（rpc），139（netbios-ssn），25（smtp），445（smb），4899（radmin）和80（http）。將協議部分改成udp，能夠篩選出udp端口137（netbios-ns）。
下面依次分析這些端口：TCP135端口，只是進行了鏈接，沒有數據內容交換，頗有多是對這個端點進行了connect掃描：

TCP25端口，與135端口類似，也沒有進行數據內容的交換，猜想攻擊機對其進行了connect掃描：

TCP139端口，這裏大部分鏈接也沒有傳遞具體會話內容，主要也是SMB查點：

TCP445端口，這裏發現有一個PSEXESVC.EXE的文件，這個二進制文件主要是一種Dv1dr32蠕蟲，這種蠕蟲經過IRC進行通訊。

而後該源IP地址與蜜罐主機創建了會話，攻擊成功，這裏Windows的svcctl MSRPC接口用於同SCM（服務控制管理器）通信，svcctl漏洞容許匿名用戶鏈接到SCM，而後就能夠枚舉所安裝的或正在運行的服務。

TCP4899端口，這裏上查了一些資料，4899實際上是一個遠程控制軟百件所開啓的服務端端口，因爲這些控制軟件功能強大，因此常常被黑客用來控制被本身控制的遠程電腦，並且這類問軟件通常不會被殺毒軟件查殺，比後門還要安全。

TCP80端口，這裏主要經過該端口使用腳本攻擊IIS服務器的漏洞，從而獲取系統權限。

210.22.204.101訪問了80端口，攻擊者經過緩衝區溢出得到命令行：

這裏訪問的是218.25.147.83，這裏會看到c:\notworm，是一個蠕蟲攻擊：

其他對80端口攻擊，蜜罐主機均以IIS服務器的默認頁面做爲迴應，這些攻擊均失敗了：

UDP137端口,網絡基本輸入/輸出系統 (NetBIOS) 名稱服務器 (NBNS) 協議是 TCP/IP 上的 NetBIOS (NetBT) 協議族的一部分，它在基於 NetBIOS 名稱訪問的網絡上提供主機名和地址映射方法,在局域網中提供計算機的IP地址查詢服務，處於自動開放狀態，因此訪問這個端口確定就是 NetBIOS 查點了。

7.哪些攻擊成功了?是如何成功的?
經過上面的分析，SVCCTL服務漏洞攻擊成功，PSEXESVC蠕蟲攻擊成功。

4.學習中遇到的問題及解決

問題1：程序動態分析
問題1解決方案：這裏主要用脫殼工具先對程序脫殼，而後用IDA工具對程序文件進行反編譯，通常簡答的程序能夠經過String windows來查看定位關鍵函數，而通常的程序則須要分析函數結構圖，這裏其實還能夠顯示單個函數的彙編流程，須要如今Function window選中函數，而後才能夠從View菜單欄中的Graph顯示。