# 实验三：恶意代码的感染特征和网络特征

## 实验目的
1. 掌握使用Strings和StudyPE等工具分析恶意代码导入表及字符串信息的静态分析技术。
2. 学习运用Process Explorer和Process Monitor动态监控进程行为、文件系统及注册表变更的方法。
3. 掌握使用Wireshark捕获并分析恶意代码网络流量特征，识别其网络通讯意图的技术。



## 实验内容
**静态特征提取**：利用StudyPE查看PE文件结构，重点分析导入表函数；使用Strings工具提取可执行文件中的可读字符串，寻找URL、文件路径及注册表键值等敏感信息。

**动态行为监控**：通过Process Explorer查看进程句柄与加载的DLL库，利用Process Monitor设置过滤器，实时监控恶意代码运行时的文件写入、注册表修改及互斥量创建行为。

**网络流量分析**：配置Wireshark进行网卡流量抓包，分析恶意代码在运行过程中产生的DNS查询请求及数据传输内容，提取具体的网络指标特征。

## 实验步骤

**步骤1：静态基础信息收集。**
首先使用StudyPE工具打开`Lab03-01.exe`，查看其导入表（IAT），记录仅发现的`ExitProcess`函数，判断程序可能具备自退出特性。接着在命令行使用`strings Lab03-01.exe`命令或使用Strings工具扫描文件，搜索关键词如"http"、"software"等，记录下发现的域名`www.practicalmalwareanalysis.com`及注册表路径`SOFTWARE\Microsoft\Windows\CurrentVersion\Run`，初步预判其网络行为与自启动意图。

**步骤2：进程行为动态监控。**
运行Process Explorer工具，执行`Lab03-01.exe`程序。在进程列表中找到该进程，点击菜单栏`View` -> `Lower Pane View` -> `Handles`，查看下方窗格列出的句柄信息，查找名为`WinVMX32`的互斥量，验证其防多开机制。随后切换视图至`DLLs`，检查是否加载了网络库`ws2_32.dll`，从而证实该程序具备网络通讯能力。

**步骤3：文件系统与注册表监控。**
启动Process Monitor，点击过滤器图标，设置规则为`Process Name` -> `is` -> `Lab03-01.exe`，以屏蔽无关系统噪音。再次运行恶意样本，在事件列表中筛选`RegSetValue`操作，记录其对`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`键值的写入，名为`VideoDriver`。同时筛选`WriteFile`操作，确认恶意样本在`C:\WINDOWS\system32\`路径下创建了名为`vmx32to64.exe`的副本。

**步骤4：网络流量特征捕获。**
打开Wireshark软件，选择当前活动网卡启动抓包。在确保Process Monitor运行的同时，触发恶意代码运行。运行一段时间后停止抓包。在Wireshark显示过滤器栏输入`dns.qry.name == "practicalmalwareanalysis.com"`，定位DNS查询包，确认其尝试解析的恶意域名。随后追踪TCP流，检查是否向该域名发送了包含256字节随机乱码的数据包，分析其载荷特征。

**步骤5：系统残留验证。**
最后，进入系统目录`C:\WINDOWS\system32\`，查找是否存在`vmx32to64.exe`文件，验证文件释放行为。运行`regedit`，导航至`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`项，检查右侧是否包含`VideoDriver`的字符串值，确认其自启动驻留机制是否建立成功，完成对感染特征的闭环验证。

## 实验分析

**实验结果**

通过对恶意代码Lab03-01.exe的动静态综合分析，确认该程序运行时会创建名为`WinVMX32`的互斥量。它在运行过程中将自身拷贝至系统目录`C:\WINDOWS\system32\vmx32to64.exe`，并通过修改注册表`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`下的`VideoDriver`键值实现开机自启。网络层面，程序通过DNS请求解析`www.practicalmalwareanalysis.com`域名，并发送了256字节的随机乱码数据，表现出明显的恶意网络通讯特征。

**个人收获**

本实验深入理解了恶意代码从静态混淆到动态执行的完整生命周期。我掌握了如何结合Procmon和Procexp绕过简单的反分析手段（如仅导入ExitProcess），认识到仅凭静态分析极易被误导。必须结合动态监控工具，才能准确揭示其真实的文件释放、注册表劫持及网络通讯意图，为后续的逆向分析及特征提取提供了准确的技术依据。

实验三：恶意代码的感染特征和网络特征

**实验二：静态分析基础技术二**

**一、实验目的**
1.  掌握PE文件区段头的分析技术，能够通过区段特征判断文件是否被加壳或存在异常结构。
2.  学习基本的脱壳技术，能够使用通用脱壳工具（如UPX）对恶意样本进行脱壳处理，以便进行深层次分析。
3.  深入理解DLL（动态链接库）型恶意代码的工作原理，掌握分析导出表和导入表的方法。
4.  能够通过静态分析技术推断恶意代码的具体功能（如下载者、后门）及其持久化机制。



**二、实验内容**

*   **PE文件区段结构分析**：使用PE查看工具或IDA Pro加载Lab01-03.exe，详细查看其节表，识别是否存在非标准的区段名称（如UPX0、UPX1）及异常的区段权限设置。
*   **样本脱壳操作**：针对Lab01-03.exe被UPX加壳的特征，使用命令行工具UPX对其进行脱壳，对比脱壳前后的文件大小与区段变化，验证脱壳是否成功。
*   **DLL文件导出函数分析**：利用Dependency Walker加载Lab01-04.dll，查看其导出表，重点分析非标准命名的导出函数（如Install、Start），推测DLL被加载后的执行流程。
*   **核心功能API定位**：结合Strings工具与导入表分析，定位Lab01-03.exe中的网络下载API及Lab01-04.dll中的网络连接API，验证其恶意行为。

**三、实验步骤**


**步骤1：分析Lab01-03.exe的PE区段结构。**
首先使用PEiD确认Lab01-03.exe被UPX加壳。随后，使用LordPE或CFF Explorer打开该文件，切换到“区段”视图。观察区段名称，确认存在名为`.upx0`、`.upx1`和`.UPX2`的非标准区段。记录这些区段的虚拟大小和原始大小，特别是`.upx0`的原始大小为0，这是UPX加壳的典型特征。同时，关注区段的属性（如是否可读、可写、可执行），加壳样本通常会有异常的属性设置。

**步骤2：对Lab01-03.exe进行脱壳处理。**
打开CMD命令行窗口，进入UPX工具所在目录。执行脱壳命令：`upx.exe -d C:\Malware\Lab01-03.exe -o C:\Malware\Lab01-03_unpacked.exe`。参数`-d`表示执行解压操作，`-o`指定输出文件名。执行完毕后，若显示“Unpacked successfully”，则说明脱壳成功。再次使用PEiD或CFF Explorer查看脱壳后的文件，确认区段名称已恢复为标准的`.text`、`.rdata`、`.data`等，文件结构已恢复正常。

**步骤3：深入分析脱壳后的Lab01-03.exe。**
将脱壳后的文件拖入Dependency Walker，查看其导入表。在列表中寻找`urlmon.dll`库，并重点关注`URLDownloadToFileA`或`URLDownloadToFileW`函数的引用。同时，使用Strings工具对脱壳后的文件进行扫描，搜索“http”、“.exe”等关键词，找到其尝试下载的URL地址（如`http://www.practicalmalwareanalysis.com/lab01-03.exe`）。结合两者，确认该样本是一个下载者，旨在从远程服务器下载并执行文件。

**步骤4：分析Lab01-04.dll的导出与导入关系。**
Lab01-04是一个动态链接库文件。使用Dependency Walker打开它，点击“Export”标签页。观察导出函数列表，发现包含名为`InstallRT`、`StartRT`、`StopRT`和`UninstallRT`的函数。其中`InstallRT`暗示了安装或持久化机制，`StartRT`暗示了恶意功能的启动。接着查看“Import”标签页，发现其导入了`ws2_32.dll`中的网络相关函数（如`WSASocket`、`connect`）以及`advapi32.dll`中的服务管理函数，这表明该DLL可能具备通过网络通信并作为服务运行的能力。

**步骤5：综合验证与功能推断。**
对比Lab01-03与Lab01-04的分析结果。Lab01-03通过`URLDownloadToFile`下载文件，而Lab01-04作为DLL，提供了安装和启动的接口。进一步搜索Lab01-04中的字符串，可能发现与“Service”相关的字符串。由此推断，Lab01-03可能是下载器，负责下载Lab01-04（或类似的后门程序），然后通过导出的Install函数将其安装为系统服务，实现长期驻留。

**四、实验分析**

**实验结果：**
通过对Lab01-03.exe的静态分析，成功识别其UPX壳结构并完成脱壳。分析发现脱壳后的样本调用了`URLDownloadToFile` API，且包含特定的URL字符串，证实其为一个恶意下载器。对Lab01-04.dll的分析显示，它导出了`InstallRT`和`StartRT`等控制函数，并引入了Winsock网络库与服务管理API。这表明该DLL是一个后门组件，设计用于被加载器调用，通过服务机制实现持久化，并建立网络连接等待攻击者指令。

**个人收获：**
本次实验让我从PE文件结构的底层视角理解了恶意代码的静态特征。我学会了通过区段名称快速识别加壳样本，并掌握了使用UPX进行基础脱壳的实用技能。更重要的是，我理清了DLL型恶意代码与普通EXE的区别，明白了通过导出函数命名（如Install、Start）可以推断其攻击逻辑（安装-运行）。这种结合API调用、字符串特征和文件结构的综合分析方法，大大提高了我在不运行代码的情况下解析恶意软件意图的能力。

实验二：静态分析基础技术二

**实验一：静态分析基础技术一**

**一、实验目的**
1. 掌握恶意代码静态分析的基本流程与安全操作规范，能够在隔离环境中对未知样本进行初步处理。
2. 学习并熟练使用PEiD、Strings等工具识别样本的加壳状态及内部关键字符串信息。
3. 理解PE文件结构，掌握通过Dependency Walker查看导入表与导出表的方法。
4. 能够综合运用上述工具，在不运行代码的前提下，推断恶意代码的基本行为与潜在功能。



**二、实验内容**

*   **病毒扫描与哈希计算**：将Lab01-01.exe、Lab01-01.dll及Lab01-02.exe上传至VirusTotal网站，获取文件的MD5/SHA1哈希值及各杀毒引擎的检测结果，验证样本的恶意性。
*   **加壳识别与检测**：利用PEiD或ExeinfoPE工具对三个样本文件进行扫描，分析其入口点及编译器信息，判断文件是否被压缩或加壳，并识别具体的壳名称。
*   **字符串信息提取**：使用Strings工具提取样本中的所有ASCII与Unicode字符串，重点搜索URL、IP地址、文件路径及错误提示信息，分析其可能指向的网络资源或系统操作。
*   **导入导出表分析**：通过Dependency Walker加载样本，查看其依赖的系统DLL文件及调用的API函数（如网络、文件操作函数），对于DLL文件还需分析其导出函数列表。

**三、实验步骤**

**步骤1：样本收集与病毒检测。**
首先在虚拟机中建立专用分析文件夹，放入Lab 1-1和Lab 1-2的三个文件。计算本地哈希值后，分别上传至VirusTotal。记录Lab01-01.exe的SHA1值，观察检测率。若大部分杀软报警，则确认为恶意代码。记录检测报告中提及的“Trojan”或“Downloader”等特征标签，作为后续分析的参考基准。

**步骤2：识别文件是否加壳。**
打开PEiD工具，点击“...”按钮分别载入`Lab01-01.exe`、`Lab01-01.dll`和`Lab01-02.exe`。观察界面的“Enty point”与“File info”栏目。若`Lab01-01.dll`显示“UPX 0.89.6 - 1.02 / 1.05 - 2.xx -> Markus & Laszlo”，则说明该文件被UPX壳加压；若`Lab01-02.exe`显示“Microsoft Visual C++ 6.0”等正常编译信息，则说明未加壳。记录下这些信息，加壳的样本通常无法直接进行字符串或反汇编分析，需优先脱壳。

**步骤3：提取与分析字符串。**
打开命令行提示符（CMD），切换至Sysinternals Suite目录。执行命令 `strings.exe -a -n 4 C:\Samples\Lab01-02.exe`。参数`-a`表示强制扫描所有类型字符，`-n 4`表示仅显示长度大于等于4的字符串。将输出结果重定向保存为txt文件。使用Notepad++打开该文件，搜索“http”、“ftp”、“.exe”、“Create”等关键词。如果在Lab01-02中发现类似`http://www.malicious.com/update.exe`的字符串，极可能表明该样本具有下载器的功能。

**步骤4：分析依赖关系与API函数。**
启动Dependency Walker，打开`Lab01-02.exe`。在左侧树状图中查看其依赖的DLL文件（如kernel32.dll, user32.dll, ws2_32.dll）。重点关注`ws2_32.dll`中的`WSAStartup`或`socket`函数，这验证了网络通信功能。接着打开`Lab01-01.dll`，点击“Export”标签页，查看其导出的函数名称。如果发现导出函数名为非规范的字符串（如“InstallRT”或“Start”），这通常意味着该DLL是专门设计供其他程序恶意加载的插件。

**步骤5：综合验证与数据记录。**
对比上述步骤获取的数据，验证逻辑一致性。例如，若Strings中发现了URL，且Dependency Walker中发现了网络相关的Winsock API，则可相互印证样本具有联网行为。整理所有截图与数据，形成静态分析结论。

**四、实验分析**

**实验结果：**
通过本次实验，我们确认Lab01-01.dll被UPX壳压缩，这会阻碍静态反汇编的进行，但其导出表显示了非标准的函数名。Lab01-02.exe未加壳，字符串提取成功发现了包含“http://”前缀的URL地址以及相关的文件路径字符串。Dependency Walker的分析结果显示，Lab01-02.exe导入了`ws2_32.dll`中的网络连接函数，与字符串分析结果高度吻合。VirusTotal的检测报告也证实了这些文件具有高置信度的恶意特征。

**个人收获：**
本次实验让我掌握了恶意代码静态分析的“三件套”：病毒库查询、加壳识别和字符串/API分析。我深刻理解了静态分析无需运行代码即可揭示样本意图的优势，同时也认识到加壳技术是静态分析的主要障碍。通过分析导入表和字符串，我学会了像侦探一样从碎片信息中拼凑出恶意代码的攻击链路，例如从URL和网络API推断出下载行为，这种逻辑推理能力的提升是本次实验最大的收获。

实验一：静态分析基础技术一

# 实验四：文本信息隐藏实验

## 实验目的
1. 了解文本信息隐藏的常用方法，包括行间距、字间距及特征编码等。
2. 掌握StGraph1工具的使用方法，学会将文本信息隐藏于BMP图像载体中。
3. 熟悉信息隐藏的完整流程，包括载体加载、密钥设置、信息嵌入与提取。
4. 理解密钥在信息隐藏系统中的作用，验证加密后数据的完整性。



## 实验内容
*   **文本隐写原理认知**：学习文本信息隐藏的理论基础，了解如何通过微调文本格式（如颜色、缩放、下划线）来编码秘密信息。
*   **StGraph1工具操作**：使用StGraph1工具加载文本文件和载体图像，通过设置加密密钥，将文本内容嵌入到BMP图片文件中。
*   **信息提取与验证**：利用工具的恢复功能，输入正确密钥，从伪装图像中提取隐藏的文本信息，并与原始文件进行比对。

## 实验步骤
**步骤1：** 启动StGraph1工具。打开操作机，进入实验目录`D:\1、信息安全\4、信息内容安全\23信息隐藏课程\5.文本信息隐藏实验\tools\wenben\StGraph1\Debug`。在文件夹中找到`StGraph1.exe`应用程序，双击打开，弹出工具的主操作窗口。

**步骤2：** 加载待隐藏的文本文件。在工具界面中点击“Load Text File”按钮。在弹出的文件选择对话框中，浏览至实验主目录，选中“BUPT.txt”文件并点击打开。此时，工具已读取待隐藏的文本内容。

**步骤3：** 设置加密密钥。点击确定后，工具弹出密码输入框。根据提示，输入并确认一个不少于五个字符的密钥。本实验中输入密钥为“hongya”。密钥用于对文本信息进行加密保护，确保只有持有密钥的人才能提取信息。输入完成后点击确定，弹出“Text File Loaded”提示加载成功。

**步骤4：** 加载载体图像并嵌入信息。点击工具界面的“Load Bmp”按钮，选择实验主目录中的载体图像文件“test.bmp”并打开。接着点击“Hide Text”按钮，工具开始执行嵌入操作。稍等片刻，弹出提示框显示“Text now become hidden.....”，点击确定完成操作。此时，秘密信息已成功嵌入，且原图片文件被覆盖。

**步骤5：** 提取隐藏的文本信息。点击工具界面的“Recover Text”按钮，在文件对话框中选择刚刚经过信息隐藏处理的图片（即被覆盖后的`test.bmp`）。工具随即弹出密钥输入框，要求输入解密密码。

**步骤6：** 验证解密结果。在密码框中输入之前设置的密钥“hongya”，点击OK按钮。工具成功解密并弹出一个新的对话框，其中显示的内容即为从图片中提取出的原始文本信息。经核对，显示内容为“Hello World”，与原始`BUPT.txt`中的内容一致，证明实验成功。

## 实验分析
**实验结果：** 本次实验成功利用StGraph1工具完成了文本信息在BMP图像中的隐藏与提取。通过设置密钥“hongya”，文本“Hello World”被安全地嵌入到载体图像`test.bmp`中，且覆盖了原始文件。在提取环节，输入正确密钥后，能够完整还原出隐藏的文本内容，而图像本身外观无明显变化，验证了该工具的有效性和隐蔽性。

**个人收获：** 通过实验，我掌握了StGraph1这一隐写工具的具体操作流程，理解了将文本作为秘密信息隐藏于图像载体的实际应用。我认识到，虽然文本本身冗余度低，难以直接修改，但将其作为隐藏对象嵌入高冗余的图像中是一种有效的隐写手段。同时，密钥的设置环节让我深刻体会到信息隐藏与加密技术的结合，密钥的保密性直接关系到隐藏信息的安全性，这为我后续深入学习信息内容安全打下了基础。

实验四：文本信息隐藏实验

# 实验三：二值图像信息隐藏实验

## 实验目的
1. 理解二值图像信息隐藏的难点与基本原理，掌握图像块与游程编码两种方法。
2. 学会使用MATLAB进行图像处理，运行特定的隐写脚本。
3. 掌握基于黑白像素比例和游程长度奇偶性的信息嵌入与提取技巧。
4. 对比不同算法的视觉效果，评估信息隐藏对载体图像质量的影响。



## 实验内容
*   **二值图像分块隐藏实验**：运行`binhiding.m`脚本，将图像分块，通过修改块内黑白像素比例来嵌入秘密信息，观察图像视觉变化。
*   **游程编码隐藏实验**：运行`RLEhiding.m`脚本，利用二值图像游程长度的奇偶性编码信息，微调像素值以实现隐写。
*   **隐藏效果对比分析**：通过修改`hidden.txt`文件中的秘密信息内容，对比两种算法在不同数据量下的隐写效果和视觉失真度。

## 实验步骤
**步骤1：** 启动MATLAB并配置环境。在操作机桌面找到并双击“MATLAB R2014a”图标启动软件。在软件界面上方的地址栏中输入实验目录路径`D:\1、信息安全\4、信息内容安全\23信息隐藏课程\12.二值图像信息隐藏实验\hongya`，点击旁边的搜索按钮，将“当前文件夹”切换至指定目录。

**步骤2：** 执行分块法信息隐藏。在左侧“当前文件夹”栏中，找到并双击打开`binhiding.m`脚本文件。点击编辑器工具栏上的“运行”按钮。程序运行后，弹出结果显示窗口，展示了原始图像和经过分块隐藏后的伪装图像。仔细观察两幅图像，可以发现在隐藏信息后，图像在黑白交界处存在较为明显的噪点和痕迹，视觉效果受损较大。

**步骤3：** 执行游程编码法信息隐藏。在文件列表中找到`RLEhiding.m`脚本，双击打开并点击运行。程序弹出新的显示窗口，展示游程编码算法处理后的图像。对比观察发现，采用游程编码方法生成的伪装图像与原始载体图像在视觉上差别极小，几乎无法用肉眼察觉到修改痕迹，隐写效果优于分块法。

**步骤4：** 修改隐藏信息内容。为了进一步验证算法性能，打开实验主目录下的`hidden.txt`文件。将文件中的秘密信息修改为“0123456789”并保存。这一步增加了需要隐藏的信息容量，以便观察算法在处理不同长度数据时的表现。

**步骤5：** 验证修改后的效果。再次运行`RLEhiding.m`脚本，将新的秘密信息嵌入图像。观察输出结果，确认即使隐藏了更长的数字串，图像依然保持了良好的视觉效果，没有出现明显的分块痕迹。这验证了游程编码方法在二值图像隐写中具有较好的隐蔽性和较大的信息容量。

## 实验分析
**实验结果：** 实验对比了两种二值图像信息隐藏算法。分块法虽然实现了信息嵌入，但由于强制修改像素颜色以满足黑白比例，导致图像产生了明显的视觉失真，破坏了载体的真实感。而游程编码法通过调整游程长度的奇偶性来嵌入信息“0123456789”，成功地在保持图像视觉质量不变的情况下完成了隐写，提取出的秘密信息准确无误。

**个人收获：** 通过本次实验，我掌握了MATLAB在图像隐写中的应用，熟悉了`binhiding.m`和`RLEhiding.m`脚本的运行机制。我深刻理解了二值图像由于只有黑白两色，冗余度极低，因此对隐藏算法的要求很高。游程编码利用像素的连续性特征进行微调，比简单的分块修改更具优越性。这次实验不仅提升了我的实操能力，也让我对信息隐藏中“不可感知性”这一核心要求有了更直观的认识。