20199310 2019-2020-2 《网络攻防实践》第9周做业

时间 2020-04-30

原文原文链接

做业课程：	https://edu.cnblogs.com/campus/besti/19attackdefense
做业要求：	https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10695
课程目标：	学习《网络攻防技术与实践》教材第九章，并完成课后做业
本次做业实现目标：	学习恶意代码安全攻防

做业正文:

1 知识点梳理

1.1 恶意代码

恶意代码：使计算机按照攻击者的意图执行以达到恶意目标的指令集，不必定使二进制执行文件，也可使脚本语言代码、宏代码，或者是寄生在其余代码或启动山区中的一段指令流。
恶意代码类型、特性及典型实例：
html

恶意代码命名规则：[恶意代码类型.]恶意代码家族名称[.变种号]
多维度标签的恶意代码技术形态分类方法：
传播：病毒（寄生感染），蠕虫（网络传播），邮件蠕虫（邮件传播），特洛伊木马（假装感染），网页木马（网页攻击感染）
控制：后门（一对一控制），僵尸程序（一对多控制）
隐藏：内核Rootkit（内核隐藏），用户Rootkit（应用隐藏）
攻击：DDoS工具（DDoS攻击），Spyware（信息窃取），ClickBot（单击欺诈）ios

计算机病毒

计算机病毒(Computer Virus)：一种可以自我复制的代码，经过将自身嵌入其余程序进行感染，而感染过程一般须要人工干预才能完成。
三种可执行文件的感染方式：前缀感染机制，后缀感染机制和插入感染机制
前缀感染机制:指的是病毒将自身复制到宿主程序的开始，当宿主程序被执行时，操做系统首先会运行病毒代码，大多数状况下，病毒在判断其触发条件是否知足后会将控制权转交给宿主程序，因此用户很难感受到病毒的存在;
后缀感染机制:指的是病毒将自身复制到宿主程序的末端，而后经过修改宿主程序开始时的指令，加入一条跳转指令，使得在宿主程序执行时首先跳转到病毒代码，执行完病毒代码后再经过一条跳转指令继续执行宿主程序;
中间插入感染机制:指的是病毒在感染宿主程序时，能把它拦腰截断，把病毒代码放在宿主程序的中间。中间插入感染机制可以经过零长度插入技术等使得病毒更加隐蔽，但该机制须要阶段宿主程序时的位置要恰当，须要保证病毒可以首先得到控制权，并且病毒不能被卡死，宿主程序也不能因病毒的插入而不能正常工做，所以编写此类病毒须要高超的技巧。
计算机病毒的传播渠道：移动存储、电子邮件及下载、共享目录等。web

网络蠕虫

蠕虫(Worm)：自我复制机制与计算机病毒相似，但蠕虫是一类自主运行的恶意代码，并不须要将自身嵌入到其余宿主程序中。蠕虫一般经过修改操做系统相关配置，使其可以在系统启动时得以运行。蠕虫通常经过主动扫描和攻击网络服务的漏洞进行传播，通常不须要人工干预。
基本特性：网络蠕虫和计算机病毒都有感染和自我复制的特性，并且网络蠕虫经过网络的自主传播无需人为干预，计算机病毒特性在于感染宿主，包括可执行文件、数据文档或磁盘引导删去，蠕虫病毒没有必要感染宿主，大多数病毒则须要用户运行一个程序或浏览一个文件。

网络蠕虫的组成结构：相似导弹，弹头用来穿透目标，传播引擎驱动导弹飞向它的目标，目标选择算法和扫描引擎用来引导导弹发现和指向它的目标，有效在和仓中携带了执行真正破坏性攻击的恶性材料。算法

后门与木马：

后门(Backdoor)：是指一类可以绕开正常的安全控制机制，从而为攻击者提供访问途径的一类恶意代码。攻击者能够经过使用后门工具对目标主机进行彻底控制，著名的后门工具包括Netcat、Back Orifice、Linux Root Kit和我国自行开发的冰河等。
特洛伊木马(Trojan Horse)：是一类假装成有用的软件，但隐藏其恶意目标的恶意代码。后门和特洛伊木马两个概念常常混淆，后门仅为攻击者给出非法访问途径，而特洛伊木马的特征则在于假装性。固然，许多工具融合了后门和特洛伊木马二者的特性，即攻击者将后门工具假装成善意的软件，诱导用户安装从而为其给出访问权，此类工具可称为木马后门。windows

基本特征：后门和木马是恶意代码中常常被混淆的两类技术形态，在实际的样本实例中也每每融合在一块儿使用。从定义特性上进行分析，后门是容许攻击者绕过系统常规安全控制机制的程序，可以按照攻击者本身的意图提供访问通道;而木马做为特洛伊木马的简称，是指类看起来具备某个有用或善意目的，但实际掩盖着一些隐藏恶意功能的程序。错误的观点是将后门和木马等同，将提供对受害计算机远程控制的任何程序或受害计算机上的远程命令行解释器均视为木马:而根据定义特性，它们应被视为后门，但若是将后门工具假装成良性程序，这才具有真正的木马特征。欺骗用户或系统管理员安装特洛伊木马程序，这样木马程序就经过毫无戒备的用户进入到计算机系统中: 隐藏在计算机的正常程序中，将本身假装成看起来属于该系统，使得用户和管理员不会觉察到它的存在，一般与后门工具结合，成为木马后门。sass

僵尸网络和程序：

僵尸网络(Botnet)：是攻击者(称为botmaster)出于恶意目的，传播僵尸程序控制大量主机，并经过一对多的命令与控制信道所组成的攻击网络。僵尸网络区别于其余攻击方式的基本特性是使用一对多的命令与控制机制，此外也具备恶意性和网络传播特性。
僵尸程序(Bot)：是用于构建僵尸网络以造成一对多控制攻击平台的恶意代码形态。内核套件(Rootkit)是在用户态经过替换或修改系统关键可执行文件，或者在内核态经过控制操做系统内核，用以获取并保持最高控制权(root access)的一类恶意代码，又分为用户态Rootkit和内核态Rootkit两种。
基本特征：僵尸程序一般也会携带渗透攻击“弹头”经过利用网络服务漏洞进行网络传播，但它与蠕虫的区别在因而否受控，蠕虫通常都是自主传播方式，而僵尸程序则是接受控制后进行攻击和传播;僵尸程序为了隐藏自身在受害主机上的存在，会采用--些假装和欺骗机制，此时也具备特洛伊木马特性，但这并不是僵尸程序必有的特征:与后门工具相似，僵尸程序也会为攻击者提供对受害主机的远程控制，如在受害主机上执行特定指令，或下载安装一些恶意程序，但它与后门工具的区别在于控制机制的差别，后门一般提供一对- -的控制，而僵尸程序可以为攻击者提供更灵活的一对多的控制机制。所以咱们定义，僵尸网络是指攻击者(称为botmaster) 出于恶意目的，传播僵尸程序控制大量主机，并经过一对多的命令与控制信道所组成的网络。僵尸网络区别于其余攻击方式的基本特性是使用一-对多的命令与控制机制，另外，僵尸网络还具备恶意性和网络传播性。
僵尸程序的功能组成结构：
安全

Rootkit：

Rootkit：是一种特殊的恶意软件，它的功能是在安装目标上隐藏自身及指定的文件、进程和网络连接等信息，比较多见到的是Rootkit通常都和木马、后门等其余恶意程序结合使用。
基本特征：正如Rootkit定义中所明确指出的，首先，它属于特洛伊木马的范畴，它获取运行在目标计算机上与操做系统相关联的常规程序，并用恶意版本替换它们:恶意的Rootkit 程序将自身假装成恰当且普通的程序，为的就是掩盖其真正的恶意目的，而这种假装和隐藏机制正是特洛伊木马的定义特性;此外，Rootkit 还做为后门行使其职能，各类Rootkit经过后门口令、远程Shell或其余可能的后门]途径，为攻击者提供绕过正常机制的后门]访问通道，而这正是后门工具的定义特性。做为一类特殊形态的木马后门工具，一个恶意代码之因此可以被称为Rookit,就必须具有替换或修改现有操做系统软件进行隐藏的特性，而这才是Rootkit的定义特性。
服务器

2 实验内容

2.1 代码分析

恶意代码分析：按需求使用必定的规则、方法和工具对计算机程序进行分析，以推导出其程序结构、数据流程和程序行为的处理过程。利用一些列的程序分析技术方法、流程和工具，来识别恶意代码关键程序结构和行为特征的过程。
恶意代码分析的技术方法主要包括静态分析和动态分析两大类。静态代码分析方法在不实际执行软件代码状况下对恶意代码进行自动化或辅助分析，一般包括使用反病毒引擎扫描识别已知的恶意代码家族和变种，逆向分析获取恶意代码的关键程序信息、模块构成、内部数据结构和关键控制流程，理解恶意代码的机理，并提取特征码用于检测。动态代码分析方法则经过在受控环境中执行待分析的目标恶意代码，并利用系统、网络、甚至指令层次上的监控技术手段，来获取目标代码的行为机理和运行结果。
静态分析主要手段：

动态分析主要手段：
网络

动手实践：恶意代码文件类型识别、脱壳与字符串提取

实践任务:对提供的rada恶意代码样本，进行文件类型识别，脱壳与字符串提取，以得到rada恶意代码的编写做者，具体操做以下。数据结构

(1)使用文件格式和类型识别工具，给出rada恶意代码样本的文件格式、运行平台和加壳工具。
首先使用file来是获取文件格式和运行平台，是基于80386型号的CPU，windows操做系统。

为了获取文件文本内容，这里能够直接使用strings rada.exe，可是这里发现是乱码，说明该文件有进行加壳处理：

还有一种获取文件文本内容的方法是先运行该程序，而后在process explorer上读取进程Strings信息：

(2)使用超级巡警脱壳机等脱壳软件，对rada恶意代码样本进行脱壳处理。
为了获取加壳信息，这里使用在C:\FileDetector\PFiD下打开PEiD工具，这里能够看到加壳相关工具：

而后用脱壳器进行脱壳文件目录下会出现一个rada_unpacked.exe文件，也就是脱壳文件：

(3)使用字符串提取工具，对脱壳后的rada恶意代码样本进行分析，从中发现rada恶意代码的编写做者是谁?
这时再用PEiD打开发现当前编译工具使用时VB5.0/6.0:

咱们在用上面讲的两种方法读取文本内容，能够看到文本内容已经没有乱码：

动手实践：分析Crackme程序

实践挑战:使用IDA Pro静态或动态分析crackme1.exe与crackme2.exe，寻找特定的输入，使其可以输出成功信息。
这里一共有两个须要破解程序，咱们能够用file查看文件格式和运行平台：

首先要猜想须要输入的参数个数，这里咱们从0个参数开始，依次测试不一样参数个数的输出

而后咱们使用IDA工具开始反编译,该程序在路径C:\Disassemble\IDA Free\idag.exe下：

这里先查看程序中明文字符串Strings window，能够发现前四个中有两项输出记录下来了，猜想第2条是密码，第四条是破解成功的提示语：

将窗口切换到汇编语言窗口IDA View-A,在菜单栏中View-Graphs-Function calls依次点开查看函数结构：

这里定位到sub_401280是主要的逻辑函数：

咱们在Functions window中定位该函数：

而后看到具体的汇编内容：

这里主要推测的依据是不一样逻辑判断后程序的提示语：

此时，咱们能够推测输出正确输入应该为"I know the secret",因为是字符串变量，这里必需要加"：

对于crackme2.exe采用相同的方法，首先测试其参数：

能够推测出正确参数个数为1，而后在IDA中打开，查看不一样的字符串输出，这里一共有五种，1和3已经出现，剩下三条中应该是包括输入和输出的信息：

咱们依据一样的分析方法打开函数结构图：

其中定位到比较关键的sub_401280函数：

以及它以后的判断分支：

根据分析，咱们应该将原文件重命名为crackmeplease.exe，而后显示出Pardon？What did you say？，这说明咱们已经离正确输出很近了，而后就是修改制定的密文为:I have the secret"，就能够输出正确答案：

3.实践做业

样本分析实践:分析一个自制恶意代码样本rada,并撰写分析报告

本次实践做业的任务是分析一个自制的恶意代码样本，以提升对恶意代码逆向工程分析技术的认识，并提升逆向工程分析的方法、工具和技术。
关于这个二进制文件,咱们建立它的目的是为了提升安全业界对恶意代码样本的认识, 并指出为对抗如今的恶意代码威胁发展更多防护技术的必要性。你做为一名安全事件处理者的任务(若是你接受的话)就是深刻分析这个二进制文件，并得到尽量多的信息，包括它是如何工做的，它的目的以及具备的能力，最为重要的，请展现你获取全部信息所采起的恶意代码分析技术。
待分析二进制文件位置:rada.zip，警告这个二进制文件是一个恶意代码，所以你必须采用一些预防措施来保证业务系统不被感染，建议在一个封闭受控的系统或网络中处理这个未知的实验品。

文件分析：
打开wireshark和已经脱壳的rada_unpacked.exe，在进程探测器中点击运行的进程，能够看到该二进制文件的编码字符串内容，当恶意程序打开后或以http协议与目标地址10.10.10.10的RaDa_commands.html进行链接，在本机目录下会新建tmp和bin两个文件夹，注册表也会有改变：

在wireshark上发现大量发现10.10.10.10的TCP数据包：

可是追踪上述TCP数据包并无发现内容,推测这里开启DDoS拒绝服务远程攻击，在注册表编辑器中，增长了bin/目录下的RaDa.exe，说明该程序已经成为自动启动项：

用IDA对脱壳后的二进制文件进行反编译，首先查找它的string，这里须要把type改为unicode：

这里显示调用了不少命令行参数，参考了其余同窗的博客内容，大概整理了有如下这些：

参数	做用
--verbose	显示Starting DDoS Smurf remote attack
--visible	决定在获取html文件时，IE窗口是否可见
--server	指定命令文件控制服务器的ip地址、访问协议及目录等，默认是http://.10/RaDa
--commands	指定命令文件，默认是RaDa_commands.html
--cgipath	指定服务器上cgi文件的根目录，默认是cgi-bin
--cgiget	指定负责文件上传的cgi脚本，默认是upload.cgi
--cgiput	指定负责文件下载的cgi脚本，默认是download.cgi
--tmpdir	指定临时文件夹的位置，默认是C:\RaDa\tmp
--period	指定两次向服务器请求命令文件的时间间隔，默认是60秒
--cycles	指定多少次向服务器请求命令文件后退出，默认是0(没有限制)
--help	输出版权信息
--gui	使用该参数会使样本出现一个GUI窗口
--installdir	指定样本的安装路径，默认是C:\RaDa\bin
--noinstall	使用该参数，样本将不会安装、也不会添加注册表
--uninstall	卸载样本
--authors	若是确认不是在VMware的虚拟机中运行，则显示样本的做者;不然显示参数不存在

而后往下找，发现三个网段，10开头的网段让我想到了目标IP地址10.10.10.10，这里应该是确保本地链接至目标IP网段内网，而后获取一些指令：

经常使用获取的指令有exe, get，put，screenshot，sleep等，其中exe在宿主主机中执行指定的命令，put将宿主主机中的指定文件上传到服务器。get将服务器中的指定文件下载到宿主主机中，screenshot截取宿主主机的屏幕并保存到tmp文件夹，sleep中止活动一段时间：

回答问题：
1.提供对这个二进制文件的摘要，包括能够帮助识别同同样本的基本信息。
MD5摘要信息：

PE格式：

能够运行在Windows系统上运行，支持的cpu型号是80386,32位，根据以前的静态分析的内容，该二进制文件进行了加壳处理。

2.找出并解释这个二进制文件的目的。
这个二进制文件经过链接互联网与攻击机取得会话链接，而后进行攻击，不具有自主传播，能够排除是蠕虫或者病毒，推测是后门程序或者僵尸程序。

3.识别并说明这个二进制文件所具备的不一样特性。
RaDa.exe被执行时，将在该目录下新建bin和tmp文件，其中bin目录下的二进制文件修改注册表，自动随虚拟机开启，而后从指定的目标服务器请求web页面，获取指令和参数。

4.识别并解释这个二进制文件中所采用的防止被分析或逆向工程的技术。
经过脱壳先后的字符串对比，肯定这个文件采起了UPX加壳，不通过脱壳处理没法解析反编译，由于产生的都是乱码。

5.对这个恶意代码样本进行分类(病毒、蠕虫等)，并给出你的理由。
该程序并未进行自我复制和传播，不符合蠕虫和病毒的特征，也没有假装成其余形式的文件，也不是木马，因此多是一个后门程序或者僵尸程序。

6.给出过去已有的具备类似功能的其余工具。
相似的好比上周实验中使用的用msfvenom命令生成后门文件，经过写入攻击机IP和端口的二进制文件，靶机能够直接被攻击机经过multi/handler模块直接链接。

奖励问题:
7.可能调查出这个二进制文件的开发做者吗?若是能够，在什么样的环境和什么样的限定条件下?
能够找到该二进制文件的开发者，必须对该二进制文件脱壳，而后经过process explorer进行进程查看，其中字符串内容中有显示开发者：

取证分析实践: Windows 2000系统被攻陷并加入僵尸网络

案例分析挑战内容:
在2003年3月初，Azusa Pacific大学蜜网项目组部署了一个未打任何补丁的Windows2000蜜罐主机，而且设置了一个空的管理员密码。在运营的第-一个星期内，这台蜜罐主机就频繁地被攻击者和蠕虫经过利用几个不一样的安全漏洞攻陷。在一次成功的攻击以后，蜜罐主机加入到一个庞大的僵尸网络中，在蜜罐主机运营期间，共发现了15164个不一样主机加入了这个僵尸网络。此次案例分析的数据源是用Snort工具收集的该蜜罐主机5天的网络流日志，并经过编辑去除了一些不相关的流量并将其组合到了单独的一个二进制网络日志文件中，同时IP地址和一些其余的特定敏感信息都已经被混淆以隐藏蜜罐主机的实际身份和位置。你的任务是分析这个日志文件并回答如下给出的问题。.

1.IRC是什么?当IRC客户端申请加入一个IRC网络时将发送哪一个消息? IRC通常使用哪些TCP端口?
IRC:因特网中继聊天（Internet Relay Chat），通常称为互联网中继聊天。IRC的工做原理很是简单，您只要在本身的PC上运行客户端软件，而后经过因特网以IRC协议链接到一台IRC服务器上便可。它的特色是速度很是之快，聊天时几乎没有延迟的现象，而且只占用很小的带宽资源。全部用户能够在一个被称为\"Channel\"（频道）的地方就某一话题进行交谈或密谈。每一个IRC的使用者都有一个Nickname（昵称）。
申请加入一个IRC网络时会发送服务器的域名，TCP申请端口和昵称，通常端口号为6667，或者6660-6669范围的端口，该端口为明文传输，SSL加密传输在6697端口。

2.僵尸网络是什么?僵尸网络一般用于什么?
僵尸网络：攻击者经过各类途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将经过一个控制信道接收攻击者的指令，组成一个僵尸网络。众多的计算机在不知不觉中如同僵尸群同样被人驱赶和指挥着，成为被人利用的一种工具，常见的僵尸网络攻击如分布式拒绝服务攻击（DDoS）、海量邮件垃圾等，黑客还能够控制和利用这些网络中主机所保存的信息。

3.蜜罐主机(IP地址: 172.16.134.191) 与哪些IRC服务器进行了通讯?
已知蜜罐主机IP和IRC服务的经常使用端口6667，咱们经过ip.src == 172.16.134.191 && tcp.dstport == 6667来查找目标服务器IP地址，主要有63.241.174.144,217.199.175.10,209.126.161.29,66.33.65.58,209.196.44.172：

4.在这段观察期间，多少不一样的主机访问了以209.196.44.172为服务器的僵尸网络?
这里须要用到tcpflow这个命令，首先有关apt-get install tcpflow进行安装，而后执行tcpflow -r botnet_pcap_file.dat 'host 209.196.44.172 and port 6667'，会生成172.016.134.191.01152-209.196.044.172.06667,209.196.044.172.06667-172.016.134.191.01152和report.xml三个文件，在report.xml文件中显示了：

<configuration>
    <fileobject>
      <filename>209.196.044.172.06667-172.016.134.191.01152</filename>
      <filesize>1082018</filesize>
      <tcpflow startime='2003-03-06T04:23:18.829879Z' endtime='2003-03-06T08:27:57.736205Z' mac_daddr='00:05:69:00:01:e2' mac_saddr='00:e0:b6:05:ce:0a' family='2' src_ipn='209.196.44.172' dst_ipn='172.16.134.191' srcport='6667' dstport='1152' packets='9798' out_of_order_count='223' len='1630694' />
    </fileobject>
    <fileobject>
      <filename>172.016.134.191.01152-209.196.044.172.06667</filename>
      <filesize>1046</filesize>
      <tcpflow startime='2003-03-06T04:23:18.775202Z' endtime='2003-03-06T08:27:57.867166Z' mac_daddr='00:e0:b6:05:ce:0a' mac_saddr='00:05:69:00:01:e2' family='2' src_ipn='172.16.134.191' dst_ipn='209.196.44.172' srcport='1152' dstport='6667' packets='8902' len='536112' />
    </fileobject>
  </configuration>

这里一部分是从目标服务器发送出来的，一部分是从其余主机发送到目标主机的，统计获得主机个数为3457：

5.哪些IP地址被用于攻击蜜罐主机?
首先，咱们利用tcpdump指定IP地址收集被攻击的端口写入1.txt，而后执行tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | grep -v 'reply' | cut -d '.' -f 10 | cut -d ':' -f 1 | sort | uniq | more >1.txt; wc -l 1.txt统计个数：

咱们经过snort获取全部可能连接的主机IP地址，将内容输出到2.txt,能够看到一共有165行共计165个：
tcpdump -n -nn -r botnet_pcap_file.dat 'dst host 172.16.134.191' | awk -F " " '{print $3}' | cut -d '.' -f 1-4 | sort | uniq | more > 2.txt;wc -l 2.txt:

6.攻击者尝试攻击了哪些安全漏洞?
首先用snort统计一下网络流量包分布状况：

以上能够看出大部分为tcp数据包，少部分为udp数据包，而后咱们分别筛选这两种端口：

输出能够看到 TCP 响应端口为135（rpc），139（netbios-ssn），25（smtp），445（smb），4899（radmin）和80（http）。将协议部分改成udp，能够筛选出udp端口137（netbios-ns）。
下面依次分析这些端口：TCP135端口，只是进行了链接，没有数据内容交换，颇有多是对这个端点进行了connect扫描：

TCP25端口，与135端口类似，也没有进行数据内容的交换，猜想攻击机对其进行了connect扫描：

TCP139端口，这里大部分链接也没有传递具体会话内容，主要也是SMB查点：

TCP445端口，这里发现有一个PSEXESVC.EXE的文件，这个二进制文件主要是一种Dv1dr32蠕虫，这种蠕虫经过IRC进行通讯。

而后该源IP地址与蜜罐主机创建了会话，攻击成功，这里Windows的svcctl MSRPC接口用于同SCM（服务控制管理器）通信，svcctl漏洞容许匿名用户链接到SCM，而后就能够枚举所安装的或正在运行的服务。

TCP4899端口，这里上查了一些资料，4899实际上是一个远程控制软百件所开启的服务端端口，因为这些控制软件功能强大，因此常常被黑客用来控制被本身控制的远程电脑，并且这类问软件通常不会被杀毒软件查杀，比后门还要安全。

TCP80端口，这里主要经过该端口使用脚本攻击IIS服务器的漏洞，从而获取系统权限。

210.22.204.101访问了80端口，攻击者经过缓冲区溢出得到命令行：

这里访问的是218.25.147.83，这里会看到c:\notworm，是一个蠕虫攻击：

其他对80端口攻击，蜜罐主机均以IIS服务器的默认页面做为回应，这些攻击均失败了：

UDP137端口,网络基本输入/输出系统 (NetBIOS) 名称服务器 (NBNS) 协议是 TCP/IP 上的 NetBIOS (NetBT) 协议族的一部分，它在基于 NetBIOS 名称访问的网络上提供主机名和地址映射方法,在局域网中提供计算机的IP地址查询服务，处于自动开放状态，因此访问这个端口确定就是 NetBIOS 查点了。

7.哪些攻击成功了?是如何成功的?
经过上面的分析，SVCCTL服务漏洞攻击成功，PSEXESVC蠕虫攻击成功。

4.学习中遇到的问题及解决

问题1：程序动态分析
问题1解决方案：这里主要用脱壳工具先对程序脱壳，而后用IDA工具对程序文件进行反编译，通常简答的程序能够经过String windows来查看定位关键函数，而通常的程序则须要分析函数结构图，这里其实还能够显示单个函数的汇编流程，须要如今Function window选中函数，而后才能够从View菜单栏中的Graph显示。

5.学习感悟和思考

本次实验涉及到恶意代码的分析，尤为是涉及取证分析，面对海量数据无从下手，不少知识内容还有待掌握。

参考资料

IDA操做