系統安全保證及反駭客控制技術研發中心學碩士級專任研究助理甄選題目參考解答

系統安全保證及反駭客控制技術研發中心學碩士級專任研究助理甄選題目參考解答系統安全保證及反駭客控制技術研發中心學碩士級專任研究助理甄選題目參考解答 Canaan Kao canaan@botnet.tw

Outline • 第一題 • 第二題 • 第三題 • 討論

第一題 • 題目： • 下載這隻惡意程式(病毒)，把附檔名改為 .exe 就可以 run，分析紀錄它對 file system 的 I/O，以及對 network 的 I/O。（警告：這題會讓你有中毒的風險，如果擔心中毒，請跳過）

第一題 • 說明： • 接受條件為: • 1. 使用自己寫出的 sandbox / VM 進行分析 • or • 2. 知道如何使用現有的工具進行分析與採樣 • Ex: CWSandbox , Wireshark and so on.

第一題 • 參考答案： • 網路行為: 應該可以錄到 • DNS query pavelmoous.ru • (如果 query 成功會再做些其他事)

第一題 • 參考答案： • 直接把毒送去這裡 • http://www.sunbeltsecurity.com/Submit.aspx?type=cwsandbox&cs=A41CD150B37359889A553671CBFD2360 • File system I/O: • http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=6304963&cs=AA28EB863AFCA410082202562B5163C9 • http://www.sunbeltsecurity.com/cwsandboxreport.aspx?id=6304963&cs=AA28EB863AFCA410082202562B5163C9

第二題 • 題目： • 下載這隻Linux 的問密碼程式，研究它，告訴我們密碼為何。

第二題 • 說明： • 必須要先觀察這個執行檔知道 • 1. 它的加密/解密 function • 2. 它的密碼 • 3. 根據上述兩項，找出它的明碼 • 使用 “john the ripper” or 其他工具

第二題 • 參考答案： • 程式執行例: • ./2.out • Input your password:1234 • You CANNOT pass!!! • (打錯當然不給過)

第二題 • 參考答案： • strings 2.out > 2.out.str • Read 2.out.str • Find crypt() /* 找到加密 function */ • Find some encrypted strings • 4bererwqrqwq. • 5a5OCW9w2nib. • jfsf89324132.

第二題 • 參考答案： • 做一個 2.out.pw 內容為: • root:5a5OCW9w2nib.:ooxoxo:ooxox • ./john 2.out.pw • 假以時日就會得到 • root:N7hU8357:ooxoxo:ooxox • N7hU8357 就是密碼（答案）

第二題 • 參考答案： • ./2.out • Input your password:N7hU8357 • You get the KEY • //------------------------------------------- • 其實也可以用 objdump 去反組譯 • objdump -DSlx 2.out > 2.out.txt

第三題 • 題目： • 下載這個pcap file，這段 traffic 中有一個很重要的訊息，告訴我們你發現了什麼。

第三題 • 說明： • 這一題主要是要問封包重組的能力。 • Wireshark 人人會用，巧妙各有不同。 • (當然你也可以自己寫封包重組程式，而不用 wireshark  這其實是我最初所希望的) • Packet 傳的是 data/information ，如果只是能看 packet 而不知所傳的東西為何，就會比較可惜。

第三題 • 參考答案：

第三題 • 參考答案： • 用 Wireshark 的 export 功能，就能得到結果。 • 這些 packets 所傳的是一張 1.gif ，內容如下：

系統安全保證及 反駭客控制技術研發中心 學碩士級專任研究助理 甄選題目參考解答