Lab2_otchet
.docxФедеральное агентство связи
Ордена Трудового Красного Знамени
Федеральное государственное бюджетное образовательное
учреждение высшего образования
Московский технический университет связи и информатики»
Кафедра «Информационной безопасности»
Отчёт по лабораторной работе №2 по дисциплине «Защита информации в глобальных сетях»
Выполнил студент группы
Москва, 2020
Порядок выполнения:
Исследовать PE файл с помощью утилиты PEview или аналогичного ПО. Удостовериться в том, что исследуемый файл является исполняемым путем проверки DOS заголовка и DOS заглушки. Получить сведения о дате компиляции программы, тип подсистемы, битность системы. Проверить заголовок любой секции файла на размеры Virtual Size Size of Raw Data.
Исследовать файл с помощью песочницы https://www.hybrid-analysis.com/?lang=ru
Ход работы:
Откроем файл с помощью утилиты PEview. Для того, чтобы удостовериться, что открытый файл является исполняемым, необходимо проверить вкладки IMAGE_DOS_HEADER и MS-DOS Stub Program. В DOS-заголовке находим поле Signature и проверяем ее значение. Необходимо, чтобы оно было IMAGE_DOS_SIGNATURE MZ, иначе программа не запустится (рисунок 1).
Рисунок 1 – Проверка DOS заголовка.
Из рисунка видно, что специальная сигнатура MZ присутствует. Значит, файл может быть исполнен.
Далее необходимо проверить DOS заглушку. В ней содержится программа, которая запустится, если запустить исполняемый файл Windows в системе MS DOS. Для этого необходимо открыть содержимое вкладки MS-DOS Stub_Program. (рисунок 2)
Р исунок 2 – Проверка DOS заглушки
Если просмотреть поля Value данной вкладки, то будет видно, что программа выдаст сообщение "This program cannot be run in DOS", если данная секция кода будет прочитана.
Сведения о дате компиляции программы, битности системы и типа подсистемы можно получить из PE заголовка. Для этого необходимо открыть вкладку IMAGE_NT_HEADERS. Битность системы и дата компиляции программы расположены во вкладке IMAGE_FILE_HEADER (рисунок 3).
Рисунок 3 – Проверка битности системы и даты компиляции
Дата компиляции расположена в поле Value с описанием Time Date Stamp. Из него видно, что программа была скомпилирована 19 января 2011 года в 16:10:41 UTC. Также из поля с описанием 0100 можно сделать вывод, что система 32-битная.
П одсистему программы можно определить во вкладке IMAGE_OPTIONAL_HEADER в поле Value с описанием Subsystem (рисунок 4).
Рисунок 4 – Определение подсистемы программы
Из данной вкладки видно, что программа является CUI – Character User Interface – текстовым интерфейсом пользователя. Такие программы исполняются внутри командного окна.
Проверим заголовок секции UPX2 на размер Size of Raw Data и Virtual Size. для этого откроем вкладку IMAGE_SECTION_HEADER_UPX2 (рисунок 5)
Рисунок 5 – Заголовок секции UPX2
Из рисунка видно, что значение Size of Raw Date = 200, а Virtual Size = 1000. Проверим размер Size of Raw Data. Для этого откроем вкладку SECTION UPX2 и посмотрим на первое значение в столбце pFile во вкладке IMPORT Directory Table и на последнее значение в столбце pFile во вкладке IMPORT Hints/Names. (рисунки 6 и 7)
Рисунок 6 –Вкладка IMPORT Directory Table
Рисунок 7–Вкладка IMPORT Hints/Names
Из рисунков видно, что значение pFile в первой строке = A00, а в последней B38. Вычтем из последнего значения первое и переведем в 10-ую систему. Получится 200 – значение поля Raw Size of Data. Значение Virtual Size в 5 раз больше, чем значение Size of Raw data. Это значит, что в процессе исполнения на эту секцию будет выделено в 5 раз больше места.
Проверим данный файл с помощью песочницы https://www.hybrid-analysis.com/?lang=ru (рисунок 8)
Рисунок 8 – Проверка файла в песочнице.
Проверка файла показала, что он является вредоносным.
Вывод: В данной лабораторной работе вредоносный файл был исследован с помощью утилиты PEview, а также протестирован в песочнице Hybrid Analysis.