# 网络安全实验报告6
### 实验目的

1.  掌握网络安全实验环境的搭建方法，包括虚拟机网络拓扑配置及IP地址规划，确保两台主机间的连通性。
2.  学习并掌握SSL协议的安全机制，能够配置证书服务器（CA）与Web服务器，完成证书申请与安装，实现HTTPS加密传输。
3.  深入理解IPSec协议的工作原理，掌握在Windows环境下配置ESP（封装安全载荷）和AH（认证头）协议的策略与规则。
4.  通过Wireshark抓包工具，分析HTTP与HTTPS数据包的差异，以及IPSec协议在不同策略组合下的通信行为与数据封装格式。



### 实验内容

1.  **SSL协议应用与配置**：搭建根CA服务器与Web服务器，在Web端申请并安装指定格式的数字证书，配置站点绑定，通过浏览器验证HTTPS服务的可用性。
2.  **HTTP与HTTPS协议分析**：利用Wireshark工具分别抓取HTTP明文传输与HTTPS加密传输的数据包，重点分析TCP三次握手、SSL握手过程及数据载荷的加密差异。
3.  **IPSec协议（ESP）配置与测试**：在两台主机间配置基于传输模式的IPSec策略，针对ICMP协议创建筛选器，指定使用ESP协议，测试不同策略指派组合下的Ping连通性。
4.  **IPSec协议（AH）与数据抓包分析**：将IPSec协议修改为AH头认证模式，抓取数据包分析协议号、SPI、载荷长度等字段，对比ESP与AH在数据加密封装上的区别。

### 实验步骤

**步骤1：实验环境搭建与基础配置**
打开两台Windows虚拟机，根据“学号”后两位（设为XX）配置IP地址。将根CA（主机A）IP设置为`192.168.XX.111`，Web服务器（主机B）IP设置为`192.168.XX.222`。配置完成后，在两台虚拟机中互相执行`ping`命令，确保网络连通性良好。

**步骤2：SSL证书服务配置**
在根CA虚拟机中，通过服务器管理器添加“Active Directory 证书服务”角色及IIS服务。在Web服务器虚拟机中安装IIS服务，并编辑默认网站的`iisstart.htm`文件，在页面中加入学号后两位以便验证。在Web服务器的IIS管理器中，配置服务器证书，通过浏览器访问`http://192.168.XX.111/certsrv`申请证书，证书名称设置为“66-XX-WEB”，单位填写班号，公用名称使用姓名首字母。下载并安装证书后，在Web站点上绑定该证书，配置443端口。

**步骤3：SSL协议抓包分析**
在根CA虚拟机上开启Wireshark，选择网卡进行抓包。首先使用HTTP方式访问Web服务器IP，保存TCP三次握手及HTTP明文数据包的截图。随后使用HTTPS方式访问，抓取SSL/TLS完整握手流程的数据包（ClientHello、ServerHello、Certificate等）。对比两者发现，HTTP数据可直接读取，而HTTPS数据部分为乱码加密状态，且IP头与TCP头结构基本一致。

**步骤4：IPSec（ESP）策略配置**
重置环境或确保主机A和B网络互通。在主机A中，打开“本地安全策略”，创建“IP安全策略”。添加IP安全规则，选择“传输模式”。在IP筛选器列表中添加新筛选器，指定源地址为本机（192.168.XX.111），目标地址为主机B（192.168.XX.222），协议类型选择ICMP。在筛选器操作中，选择“协商安全”，并添加“完整”安全方法，勾选“ESP”协议及完整性算法（如SHA1）和加密算法（如3DES）。按照相同逻辑在主机B配置反向策略（源为本机，目标为A）。

**步骤5：IPSec策略测试与连通性验证**
分别设置主机A和B的策略指派状态（指派或不指派），进行四种组合测试。在主机A执行`ping 192.168.XX.222`。
- 当A、B均不指派时，Ping通（普通ICMP）。
- 当A指派、B不指派时，Ping不通（协商失败）。
- 当A不指派、B指派时，Ping不通。
- 当A、B均指派时，Ping通（建立ESP安全通道）。
使用Wireshark抓取成功通信时的ESP数据包，记录协议类型值（十进制50）、SPI值、序列号，并确认ICMP负载已被ESP封装加密。

**步骤6：IPSec（AH）协议配置与分析**
将上述策略中的筛选器操作修改为使用“AH”协议（协议号51），移除加密设置，保留完整性设置。确保两端均指派策略后，再次执行Ping并抓包。分析AH数据包，记录“下一个报头”字段（通常为ICMP对应的协议号1）、载荷长度和SPI值。分析发现，AH协议不加密数据负载，但提供了IP头和数据完整性校验。

### 实验分析

**实验结果**
通过实验成功搭建了基于SSL的HTTPS安全网站与基于IPSec的VPN通信环境。在SSL实验中，Wireshark抓包清晰展示了HTTP明文传输的风险与HTTPS通过SSL/TLS握手实现数据加密的过程，证实HTTPS在数据层面的安全性。在IPSec实验中，验证了通信双方策略必须匹配（均指派或均不指派）才能正常通信的特性。ESP抓包显示ICMP载荷被加密，无法直接查看内容；而AH抓包显示数据包未加密，但增加了AH头部用于完整性校验，验证了ESP提供机密性与完整性，AH仅提供完整性的理论。

**个人收获**
本次实验让我深刻理解了网络协议栈不同层面的安全机制。SSL工作在应用层，主要保护Web等服务的数据传输安全；而IPSec工作在网络层，能保护主机间所有IP流量。通过亲手配置证书服务和筛选器策略，我掌握了CA认证体系的运作逻辑以及IPSec传输模式的具体实现。特别是策略指派的对比测试，让我明白了网络安全通信需要双方预先协商并达成一致，单方面的安全配置会导致通信阻断，这加深了我对网络安全双向认证和协议协商过程的理解。

网络安全实验报告6

# 网络安全实验报告5

## 一、实验目的

1. 理解防火墙的基本工作原理与分类，掌握其作为主机安全屏障的核心机制。
2. 掌握Windows防火墙的策略配置方法，熟悉开启与关闭防火墙的基本操作。
3. 掌握入站与出站规则的设置技巧，能够基于不同需求设计相应的安全策略。
4. 学会验证防火墙规则的有效性，通过实际测试巩固对网络安全防护技术的理解。



## 二、实验内容

1. **Windows防火墙基础配置**：通过控制面板启用Windows防火墙，掌握其开启与关闭的基本操作。
2. **阻止ICMP响应**：配置入站规则拦截ICMPv4协议，禁止主机响应外部PING请求。
3. **程序访问控制**：利用出站规则限制特定程序联网权限，防止指定应用访问外网。
4. **协议端口过滤**：设置规则阻断TCP特定端口（如80），阻止本机访问外部Web服务。
5. **IP地址过滤**：配置出站规则阻断对特定外部IP地址的访问，实现基于IP的访问限制。

## 三、实验步骤

**步骤1：** 开启Windows防火墙。进入控制面板，依次点击“系统和安全”与“Windows Defender防火墙”。在左侧选择“启用或关闭Windows Defender防火墙”，确认专用网络和公用网络设置下的“启用Windows Defender防火墙”选项均已选中，点击确定以激活防火墙保护，确保后续实验环境的安全性。

**步骤2：** 配置规则阻止ICMP响应。打开防火墙“高级设置”，定位到“入站规则”并点击“新建规则”。选择“自定义”规则类型，协议设置为“ICMPv4”，操作选择“阻止连接”。命名规则后启用。验证时，在另一台设备命令行输入`ping 本机IP地址`，若收到“请求超时”或“一般故障”提示，说明规则生效，主机成功隐藏。

**步骤3：** 设置出站规则阻止程序联网。在“高级设置”中选择“出站规则”并新建规则。规则类型选“程序”，指定程序路径（如浏览器的exe文件）。操作选择“阻止连接”，命名并启用规则。验证时双击运行被限制的程序，尝试刷新网页或登录，若显示网络连接错误，证明基于程序的过滤配置成功。

**步骤4：** 基于端口阻断网络应用。新建“出站规则”，类型选“端口”。协议设置为TCP，特定远程端口输入“80”（HTTP端口）或“443”（HTTPS端口）。操作选“阻止连接”。命名并启用后，打开浏览器尝试访问对应协议的网站。验证应显示无法连接到服务器，说明防火墙成功拦截了指定端口的数据包。

**步骤5：** 配置IP地址过滤阻断访问。在CMD中使用`ping 目标网站域名`解析出IP地址。新建“出站规则”，类型选“自定义”。在“作用域”选项卡中，将远程IP地址设置为刚解析出的IP。操作选“阻止连接”。启用规则后，在浏览器中访问该网站。验证结果显示无法连接，证实防火墙已成功阻断指向该特定IP的数据流。

## 四、实验分析

**实验结果：**
实验成功配置了Windows防火墙的各项规则。通过入站规则拦截ICMPv4，主机不再响应Ping请求。出站规则有效阻止了特定程序联网、TCP 80端口数据传输及目标IP地址的访问。验证阶段显示，被限制的功能全部失效，策略执行准确无误，达到了预期的安全控制效果。

**个人收获：**
通过本次实验，我深入理解了防火墙作为主机安全防线的重要作用。掌握了入站与出站规则的区别及应用场景，学会了基于协议、端口、IP和程序的精细化配置。实践让我认识到，合理设置防火墙能有效防御外部扫描并控制内部数据流向，提升了我的网络安全防护技能。

网络安全实验报告五

# 实验八：熊猫烧香逆向分析


### 一、实验目的
1.  掌握Delphi程序入口函数的汇编特征及寄存器传参机制（EAX、EDX、ECX），识别BSS段全局变量的作用。
2.  深入逆向核心函数`sub_403C98`与`sub_405360`，分析字符串拷贝逻辑与自定义异或解密算法的实现细节。
3.  通过编写C++代码复现解密过程，验证异或与模运算在恶意代码中的应用，实现静态分析与动态调试的交叉验证。



### 二、实验内容
1.  **Main函数流程逆向**：利用IDA Pro定位程序入口，分析异常处理结构、栈帧构建及`sub_403C98`、`sub_405360`等关键函数的调用链。
2.  **核心函数逻辑解析**：详细分析字符串拷贝函数的寄存器传参规则及解密函数中异或、除法取余等汇编指令的具体实现。
3.  **算法复现与验证**：提取密钥与密文数据，编写C++程序还原解密算法，并使用OD调试器监控内存数据的实时变化，验证分析结果。

### 三、实验步骤
**步骤1：入口函数静态分析**
使用IDA Pro加载“熊猫烧香”样本，跳转至`0x0040CC28`处的`start`函数。观察`push ebp`及`mov fs:[eax], esp`指令，识别出Delphi程序的入口特征及SEH结构化异常处理安装代码。向下分析汇编代码，重点关注连续的`call`指令，确认参数传递方式：`mov eax`指向目标地址，`mov edx`指向源地址，`mov ecx`指向缓冲区。识别出程序先调用`sub_403C98`进行字符串准备，再调用`sub_405360`进行解密，最后通过`sub_404018`进行比对的自校验逻辑。

**步骤2：数据段字符串解析**
在IDA中双击交叉引用中提到的`dword_40CC40`地址，进入十六进制数据视图。选中数据块按下`Alt+A`，在弹出的选项中将字符串类型设置为`C-style`，编码格式选择`GB2312`。此时视图窗口成功解析出明文“***武*汉*男*生*感*染*下*载*者***”。同理，查看`dword_40CC6C`解析出作者备注信息。同时确认`dword_40E7D4`位于BSS段，初始状态为全0，是用于存储运行时字符串的全局变量。

**步骤3：核心函数算法逆向**
进入`sub_403C98`函数，分析其循环体，确认其为基于EAX（目标）、EDX（源）的标准字符串拷贝函数。重点进入`sub_405360`函数，定位到`0x4053D1`处的解密循环。识别关键指令：`mov ecx, 0xA`设置除数10，`idiv ecx`执行除法，`xor edx, eax`执行异或。结合寄存器变化，推导出算法逻辑：取出密钥`xboy`的字节，将其ASCII值对10取余，再与密文字节进行逐字节异或。提取参数：密钥位于EDX，密文位于EAX，输出缓冲区位于ECX。

**步骤4：OD动态调试验证**
启动OllyDbg加载样本，在`call sub_403C98`（地址`0x0040CB7E`）处设置断点。按F9运行程序断下后，在数据窗口跟随EAX寄存器（`0040E7D4`），观察到初始内存全为00。按下F8单步步过该函数，发现`0040E7D4`处已被写入明文字符串。继续运行至`sub_405360`调用后，检查ECX指向的栈内存，成功观察到解密后的汉字字符串，验证了静态分析的准确性。

**步骤5：C++代码复现**
根据逆向出的汇编逻辑编写C++代码。定义`Decode`函数，实现核心逻辑：`byte xor_key = key[j % key_len]; pBuf[j-1] ^= xor_key % 10;`。在主函数中定义原始密文数组`"++戊+缓..."`，并传入密钥`xboy`进行调用。编译并运行该程序，控制台成功输出“***武*汉*男*生*感*染*下*载*者***”，完成了从汇编指令到高级语言算法的完整复现。

### 四、实验分析
**实验结果**
实验成功逆向分析了熊猫烧香样本的初始化流程。确认了程序严格遵循Delphi寄存器传参约定，利用`sub_403C98`将数据段的密文搬运至BSS段全局变量进行初始化。完整复现了`sub_405360`的解密算法，即利用密钥`xboy`的ASCII值模10后与密文进行逐字节异或。C++复现代码的运行结果与OD内存dump数据完全一致，成功还原出“武汉男生感染下载者”核心明文，验证了分析逻辑的正确性与严密性。

**个人收获**
通过本次综合实验，我深入理解了Delphi程序特有的结构化异常处理（SEH）及调用约定，有效提升了通过内存特征（如BSS段全零）定位关键数据结构的能力。在算法还原环节，我掌握了从汇编层面的算术与逻辑指令（IDIV、XOR）反推高级语言算法的方法，意识到恶意软件常使用简单异或加密来隐藏特征。这种“静态分析-算法推导-代码复现-动态验证”的闭环分析方法，极大地增强了我的逆向工程实战技能。

实验八：熊猫烧香逆向分析

# 实验七：熊猫烧香行为分析

### 1. 实验目的
1. 掌握恶意代码静态分析技术，利用PEID进行查壳识别，并使用Strings工具提取程序中的敏感字符串与关键特征。
2. 熟悉动态行为分析方法，通过Process Monitor实时监控恶意程序的进程创建、文件操作及注册表修改行为。
3. 深入理解熊猫烧香病毒的感染机制，包括释放恶意子进程、修改系统隐藏属性及利用U盘传播的原理。
4. 分析病毒的网络行为特征，掌握内网弱口令爆破攻击及远程服务器通信的识别与验证方法。



### 2. 实验内容
1.  **静态特征提取**：使用PEID确认程序为Delphi开发且未加壳，利用Strings工具提取包含弱口令、URLDownload函数及U盘感染相关的字符串信息，初步判断病毒功能。
2.  **进程与命令监控**：利用Process Monitor监控病毒运行后的进程树，观察样本主程序如何释放子进程spoclsv.exe，并分析CMD进程执行的删除共享命令。
3.  **注册表与文件篡改**：详细监控spoclsv.exe对注册表的自启动项创建及隐藏属性修改，记录其在系统目录及根目录下创建病毒文件、配置文件的具体路径与操作。
4.  **网络连接行为分析**：通过Process Monitor的网络活动视图，捕获病毒尝试连接内网其他主机端口及向远程特定IP发送HTTP数据包的行为特征。

### 3. 实验步骤
**步骤1：静态信息提取与查壳**
首先使用PEID工具加载“样本.exe”，程序显示“Delphi”且未加壳。接着使用Strings工具对样本进行扫描，在结果中搜索关键字，发现了大量如“123456”、“admin”、“pass”等弱口令字符串，以及“URLDownloadToFileA”函数和“autorun.inf”、“setup.exe”等U盘感染特征，据此推测病毒具备弱口令爆破、下载和U盘传播功能。

**步骤2：进程树与命令执行监控**
启动Process Monitor，设置过滤器“Process Name is 样本.exe”并运行病毒。在进程树视图中观察到样本释放了名为“spoclsv.exe”的进程。同时发现样本调用了两次cmd.exe，执行的命令分别为“cmd.exe /c net share C$ /del /y”和“cmd.exe /c net share admin$ /del /y”。验证步骤：在命令行输入`net share`，确认C$和admin$共享已被成功删除。

**步骤3：文件系统行为监控**
保持Process Monitor运行，将过滤器Operation设置为“CreateFile”。监控显示样本在`C:\WINDOWS\system32\drivers`目录下创建了`spoclsv.exe`。随后将过滤器切换为监控`spoclsv.exe`，观察到该进程在C盘根目录创建了`setup.exe`和`autorun.inf`，并在各目录生成了`Desktop.ini`。验证：进入C盘，开启显示隐藏文件，确认上述病毒载体文件已存在。

**步骤4：注册表关键项修改监控**
在Process Monitor中筛选RegCreateKey和RegSetValue操作，针对`spoclsv.exe`进程进行分析。监控记录显示，病毒在注册表`HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`下创建了`svshare`项以实现开机自启，并修改了`Hidden`和`ShowAll`键值以强制隐藏文件。此外，监控到病毒删除了多款安全软件的启动项值。验证：运行`msconfig`查看启动项，可见新增的svshare项。

**步骤5：网络活动流量监控**
在Process Monitor工具栏中勾选“Show Network Activity”，仅显示网络相关事件。监控日志显示，`spoclsv.exe`不断尝试连接虚拟机内网网段`192.168.200.x`中的其他主机，这对应了静态分析中的135端口爆破行为。同时，程序还向外部IP`47.74.46.59`发起了HTTP连接，用于数据传输。验证：使用`netstat -ano`命令查看当前网络连接，确认存在与该IP的ESTABLISHED连接。

### 4. 实验分析
**实验结果**
本次实验成功验证了熊猫烧香病毒的完整攻击链。病毒主程序释放核心文件`spoclsv.exe`至系统驱动目录，并通过CMD命令强制关闭了C盘与管理共享。监控证实病毒通过注册表实现开机自启，篡改系统设置导致隐藏文件无法显示，并在根目录释放U盘传播文件。网络层面，病毒表现出针对内网135端口的频繁连接尝试以及与远程服务器的通信行为。

**个人收获**
通过本次实验，我深入掌握了恶意代码的动静结合分析方法，理解了Delphi程序通过寄存器传递参数的特点。特别是对熊猫烧香的Autorun传播机制和注册表维持技术有了直观认识。实验让我意识到简单的弱口令爆破在内网横向移动中的巨大威胁，同时也学会了如何利用监控工具精准定位病毒的行为逻辑，极大提升了逆向分析的基础能力。

实验七：熊猫烧香行为分析

# 实验六：OllyDebug动态结合实验报告

## 一、实验目的
1. 掌握OllyDbg动态调试与IDA静态分析的结合使用方法，熟悉调试器窗口布局及常用快捷键操作。
2. 深入理解恶意代码中的文件名校验机制及其作为反调试手段的原理与绕过技巧。
3. 掌握自定义异或(XOR)加密算法的识别技术，能够通过动态调试提取隐藏的C2域名等敏感配置。
4. 分析恶意样本的进程创建行为与网络连接逻辑，理解恶意代码的完整执行流程与载荷触发条件。



## 二、实验内容
1.  **静态环境搭建与初步分析**：利用Strings工具提取样本中的可见明文字符串，结合IDA Pro加载样本，定位程序入口点并分析关键函数逻辑，导出MAP符号文件以辅助动态调试。
2.  **动态调试配置与行为触发**：在OllyDbg中加载恶意样本并导入MAP文件以还原符号信息，设置关键地址断点，跟踪程序执行流，分析程序异常退出的具体原因。
3.  **文件名校验机制绕过**：通过单步执行GetModuleFileNameA和strcmp等系统函数，详细分析程序获取当前路径并比对文件名的自校验过程，通过重命名文件绕过该检测。
4.  **加密算法逆向与C2提取**：动态跟踪核心解密函数sub_401089的调用参数与内部逻辑，验证异或解密算法，利用密钥还原加密的C2域名，并分析后续CreateProcessA调用意图。

## 三、实验步骤

**步骤1：静态分析准备与MAP文件生成**
首先使用Strings工具扫描`Lab09-02.exe`，发现静态字符串中仅包含`1qaz2wsx3edc`和`ocl.exe`，未发现明显的域名明文。接着启动IDA Pro加载样本，在入口函数列表中定位到main函数地址为`0x401128`。为了提高动态调试时的代码可读性，在IDA中点击菜单栏`File`->`Produce file`->`Create MAP file`，导出包含函数符号信息的MAP文件，保存至本地目录。

**步骤2：OllyDbg环境配置与初始断点设置**
启动OllyDbg调试器，按`F3`键打开`Lab09-02.exe`文件。点击右键菜单选择插件`LoadMapEx`，加载步骤1中导出的MAP文件，此时汇编代码中的地址旁将显示具体的函数名称。按下`Ctrl+G`快捷键，输入目标地址`0x401128`跳转到主函数入口处，按下`F2`键在该地址设置断点。最后按`F9`运行程序，程序成功中断在入口点。

**步骤3：分析文件名校验导致退出的问题**
按`F8`单步执行指令，观察底部的堆栈窗口。首先看到程序压入了两个字符串参数：`1qaz2wsx3edc`和`ocl.exe`。继续`F8`步过`GetModuleFileNameA`函数调用，并在内存窗口中查看缓冲区，确认程序成功获取了当前完整路径。随后程序调用`strrchr`查找最后一个反斜杠，紧接着调用`strcmp`将提取的文件名与`ocl.exe`进行对比。由于当前文件名为`Lab09-02.exe`，对比结果不为0，导致程序执行`exit`指令直接退出。

**步骤4：绕过校验并触发网络行为**
关闭调试器，将样本文件重命名为`ocl.exe`。在OllyDbg中重新加载该文件，再次运行至`strcmp`指令处。此时校验通过，程序未发生跳转退出。继续向下执行，在底部的模块列表窗口中可以观察到程序动态加载了`ws2_32.dll`、`mswsock.dll`等网络通信库，说明Payload已被触发。

**步骤5：解密C2域名分析**
继续执行至地址`0x00401133`，此处有一条`CALL sub_401089`指令。在调用前检查堆栈窗口，确认传入的参数分别为：密文缓冲区地址和密钥字符串`1qaz2wsx3edc`的指针。按下`F7`步入`sub_401089`函数内部，通过单步执行观察寄器变化，确认算法为循环异或（XOR）。执行完该函数返回后，在数据窗口跟随EAX寄存器，查看解密后的内存数据，成功还原出明文字符串`www.practicalmalwareanalysis.com`。

**步骤6：验证进程创建行为**
继续向下跟踪代码至地址`0x40106E`，此处调用了`CreateProcessA`。通过查看栈中传入的参数，可以确认恶意代码正在准备创建新的子进程。结合网络连接行为，判断该步骤旨在下载执行后续的恶意载荷或建立反向Shell，完成恶意功能的最终落地。

## 四、实验分析

**实验结果**
本实验成功复现了恶意样本Lab09-02.exe的运行逻辑。初始运行时程序瞬间退出，经动态调试确认是因为文件名不符触发了基于`strcmp`的自毁机制。将文件重命名为`ocl.exe`后，程序顺利通过校验并加载了网络库。通过在地址0x00401133处跟踪关键函数调用，利用硬编码密钥`1qaz2wsx3edc`成功解密出了隐藏的C2域名`www.practicalmalwareanalysis.com`。最后，验证了程序在0x40106E处通过`CreateProcessA`创建子进程的行为，完整还原了其从自检到外联的攻击链。

**个人收获**
通过本次实验，我深刻体会到了动静结合分析在恶意代码逆向中的重要性。利用IDA导出MAP文件辅助OllyDbg调试，极大地提升了代码阅读效率和定位速度。技术上，我掌握了识别简单异或加密的方法，理解了文件名校验作为一种基础的反分析手段如何影响程序流。此外，熟练运用OD的断点、内存查看和堆栈分析功能，使我对恶意代码的底层机制和C2架构有了更直观、深入的理解。