# 实验五：网页信息隐藏实验

## 实验目的

1. 掌握SteganoHtml工具的基本操作，学习如何在该工具中完成信息的隐藏与提取流程。
2. 理解网页作为信息隐藏载体的优势，深入了解Web页面在信息传输中的隐蔽性与安全性特点。
3. 学习利用HTML标记对位置关系或特殊字符集进行信息嵌入的技术原理。
4. 通过实际操作，验证网页信息隐藏技术在不改变页面显示效果前提下的可行性。



## 实验内容

1. **SteganoHtml工具简介**：学习SteganoHtml软件的功能模块，包括Hide（隐藏）和Extract（提取）两个核心功能，了解其通过修改HTML标记对位置关系来插入信息的原理。
2. **网页信息隐藏操作**：以“2345网址导航.html”为载体，使用SteganoHtml工具将指定的秘密信息（如字符“abc”）嵌入到网页源代码中，生成包含隐藏信息的新网页文件。
3. **网页信息提取操作**：对生成的含密网页进行信息提取实验，验证SteganoHtml工具能否准确识别并还原出预先嵌入的秘密信息，确认隐藏的有效性。
4. **网页隐写原理探究**：分析浏览器对HTML特殊字符的解析机制，理解为何利用信息隐藏字符集编写的信息加入网页代码后，不会改变原页面的显示效果。

## 实验步骤

**步骤1：启动实验环境与工具**
首先登录Windows 7操作系统，使用管理员账户进入桌面。在“计算机”中导航至实验主目录路径“D:\1、信息安全\4、信息内容安全\23信息隐藏课程\6.网页信息隐藏实验\tools\wangye\Debug”。在该目录下找到并双击运行“SteganoHtml.exe”可执行文件。系统将弹出“Steganography Example”软件窗口，窗口主要分为Hide和Extract两个功能区，确认工具界面显示正常，准备进行后续操作。

**步骤2：执行网页信息隐藏操作**
在软件主界面上方点击“Hide”标签页，进入信息隐藏工作模式。首先，在“Load from File”栏点击“Browse...”按钮，在弹出的文件对话框中定位并选中载体文件“2345网址导航.html”，然后点击“打开”。其次，在下方的“Message”文本框中输入待隐藏的明文信息，本实验输入示例字符“abc”。接着，在“Save To File”栏点击“Browse...”按钮，设置处理后文件的保存路径，例如保存至“D:\...”目录下，并指定文件名为“after.html”。最后，点击界面最下方的“Hide”按钮。系统将自动修改HTML标记对的前后位置关系，将信息嵌入代码中。待界面提示“完成”且生成after.html文件后，即表示隐藏操作成功结束，且不改变原页面显示效果。

**步骤3：执行隐藏信息提取与验证**
点击软件界面顶部的“Extract”标签页，切换至信息提取功能模块。在“Load from File”栏点击“Browse...”按钮，选中步骤2中生成的目标文件“after.html”并加载。确认文件路径正确无误后，点击界面底部的“Extract”按钮执行提取命令。软件将扫描并解析HTML文件的代码特征，还原隐藏的比特流。操作完成后，仔细观察界面下方的结果显示区域，在“Message”处应能清晰地看到刚才隐藏的“abc”字样。这一步骤验证了SteganoHtml工具能够准确读取嵌入信息，且网页的显示效果在嵌入前后保持一致，实验数据符合预期。

## 实验分析

**实验结果**
本次实验通过SteganoHtml工具成功完成了网页信息的隐藏与提取。在隐藏阶段，将字符“abc”嵌入“2345网址导航.html”中生成“after.html”，系统评分显示操作完全正确。在提取阶段，工具准确还原了隐藏信息，验证了算法的有效性。综合测验得分70分，表明已熟练掌握工具使用及网页隐写原理。

**个人收获**
通过实验，我深刻理解了网页信息隐藏利用HTML特殊字符或标记位置关系进行编码的原理，认识到Web页面作为载体在网络传输中具有不易被察觉的优势。掌握了SteganoHtml工具的实际操作，直观体验了信息隐写技术在不影响载体可用性前提下的通信方式，增强了对网络内容安全技术的理解与应用能力。

实验五：网页信息隐藏实验

# 实验三：恶意代码的感染特征和网络特征

## 实验目的
1. 掌握使用Strings和StudyPE等工具分析恶意代码导入表及字符串信息的静态分析技术。
2. 学习运用Process Explorer和Process Monitor动态监控进程行为、文件系统及注册表变更的方法。
3. 掌握使用Wireshark捕获并分析恶意代码网络流量特征，识别其网络通讯意图的技术。



## 实验内容
**静态特征提取**：利用StudyPE查看PE文件结构，重点分析导入表函数；使用Strings工具提取可执行文件中的可读字符串，寻找URL、文件路径及注册表键值等敏感信息。

**动态行为监控**：通过Process Explorer查看进程句柄与加载的DLL库，利用Process Monitor设置过滤器，实时监控恶意代码运行时的文件写入、注册表修改及互斥量创建行为。

**网络流量分析**：配置Wireshark进行网卡流量抓包，分析恶意代码在运行过程中产生的DNS查询请求及数据传输内容，提取具体的网络指标特征。

## 实验步骤

**步骤1：静态基础信息收集。**
首先使用StudyPE工具打开`Lab03-01.exe`，查看其导入表（IAT），记录仅发现的`ExitProcess`函数，判断程序可能具备自退出特性。接着在命令行使用`strings Lab03-01.exe`命令或使用Strings工具扫描文件，搜索关键词如"http"、"software"等，记录下发现的域名`www.practicalmalwareanalysis.com`及注册表路径`SOFTWARE\Microsoft\Windows\CurrentVersion\Run`，初步预判其网络行为与自启动意图。

**步骤2：进程行为动态监控。**
运行Process Explorer工具，执行`Lab03-01.exe`程序。在进程列表中找到该进程，点击菜单栏`View` -> `Lower Pane View` -> `Handles`，查看下方窗格列出的句柄信息，查找名为`WinVMX32`的互斥量，验证其防多开机制。随后切换视图至`DLLs`，检查是否加载了网络库`ws2_32.dll`，从而证实该程序具备网络通讯能力。

**步骤3：文件系统与注册表监控。**
启动Process Monitor，点击过滤器图标，设置规则为`Process Name` -> `is` -> `Lab03-01.exe`，以屏蔽无关系统噪音。再次运行恶意样本，在事件列表中筛选`RegSetValue`操作，记录其对`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`键值的写入，名为`VideoDriver`。同时筛选`WriteFile`操作，确认恶意样本在`C:\WINDOWS\system32\`路径下创建了名为`vmx32to64.exe`的副本。

**步骤4：网络流量特征捕获。**
打开Wireshark软件，选择当前活动网卡启动抓包。在确保Process Monitor运行的同时，触发恶意代码运行。运行一段时间后停止抓包。在Wireshark显示过滤器栏输入`dns.qry.name == "practicalmalwareanalysis.com"`，定位DNS查询包，确认其尝试解析的恶意域名。随后追踪TCP流，检查是否向该域名发送了包含256字节随机乱码的数据包，分析其载荷特征。

**步骤5：系统残留验证。**
最后，进入系统目录`C:\WINDOWS\system32\`，查找是否存在`vmx32to64.exe`文件，验证文件释放行为。运行`regedit`，导航至`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`项，检查右侧是否包含`VideoDriver`的字符串值，确认其自启动驻留机制是否建立成功，完成对感染特征的闭环验证。

## 实验分析

**实验结果**

通过对恶意代码Lab03-01.exe的动静态综合分析，确认该程序运行时会创建名为`WinVMX32`的互斥量。它在运行过程中将自身拷贝至系统目录`C:\WINDOWS\system32\vmx32to64.exe`，并通过修改注册表`HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`下的`VideoDriver`键值实现开机自启。网络层面，程序通过DNS请求解析`www.practicalmalwareanalysis.com`域名，并发送了256字节的随机乱码数据，表现出明显的恶意网络通讯特征。

**个人收获**

本实验深入理解了恶意代码从静态混淆到动态执行的完整生命周期。我掌握了如何结合Procmon和Procexp绕过简单的反分析手段（如仅导入ExitProcess），认识到仅凭静态分析极易被误导。必须结合动态监控工具，才能准确揭示其真实的文件释放、注册表劫持及网络通讯意图，为后续的逆向分析及特征提取提供了准确的技术依据。

实验三：恶意代码的感染特征和网络特征

**实验二：静态分析基础技术二**

**一、实验目的**
1.  掌握PE文件区段头的分析技术，能够通过区段特征判断文件是否被加壳或存在异常结构。
2.  学习基本的脱壳技术，能够使用通用脱壳工具（如UPX）对恶意样本进行脱壳处理，以便进行深层次分析。
3.  深入理解DLL（动态链接库）型恶意代码的工作原理，掌握分析导出表和导入表的方法。
4.  能够通过静态分析技术推断恶意代码的具体功能（如下载者、后门）及其持久化机制。



**二、实验内容**

*   **PE文件区段结构分析**：使用PE查看工具或IDA Pro加载Lab01-03.exe，详细查看其节表，识别是否存在非标准的区段名称（如UPX0、UPX1）及异常的区段权限设置。
*   **样本脱壳操作**：针对Lab01-03.exe被UPX加壳的特征，使用命令行工具UPX对其进行脱壳，对比脱壳前后的文件大小与区段变化，验证脱壳是否成功。
*   **DLL文件导出函数分析**：利用Dependency Walker加载Lab01-04.dll，查看其导出表，重点分析非标准命名的导出函数（如Install、Start），推测DLL被加载后的执行流程。
*   **核心功能API定位**：结合Strings工具与导入表分析，定位Lab01-03.exe中的网络下载API及Lab01-04.dll中的网络连接API，验证其恶意行为。

**三、实验步骤**


**步骤1：分析Lab01-03.exe的PE区段结构。**
首先使用PEiD确认Lab01-03.exe被UPX加壳。随后，使用LordPE或CFF Explorer打开该文件，切换到“区段”视图。观察区段名称，确认存在名为`.upx0`、`.upx1`和`.UPX2`的非标准区段。记录这些区段的虚拟大小和原始大小，特别是`.upx0`的原始大小为0，这是UPX加壳的典型特征。同时，关注区段的属性（如是否可读、可写、可执行），加壳样本通常会有异常的属性设置。

**步骤2：对Lab01-03.exe进行脱壳处理。**
打开CMD命令行窗口，进入UPX工具所在目录。执行脱壳命令：`upx.exe -d C:\Malware\Lab01-03.exe -o C:\Malware\Lab01-03_unpacked.exe`。参数`-d`表示执行解压操作，`-o`指定输出文件名。执行完毕后，若显示“Unpacked successfully”，则说明脱壳成功。再次使用PEiD或CFF Explorer查看脱壳后的文件，确认区段名称已恢复为标准的`.text`、`.rdata`、`.data`等，文件结构已恢复正常。

**步骤3：深入分析脱壳后的Lab01-03.exe。**
将脱壳后的文件拖入Dependency Walker，查看其导入表。在列表中寻找`urlmon.dll`库，并重点关注`URLDownloadToFileA`或`URLDownloadToFileW`函数的引用。同时，使用Strings工具对脱壳后的文件进行扫描，搜索“http”、“.exe”等关键词，找到其尝试下载的URL地址（如`http://www.practicalmalwareanalysis.com/lab01-03.exe`）。结合两者，确认该样本是一个下载者，旨在从远程服务器下载并执行文件。

**步骤4：分析Lab01-04.dll的导出与导入关系。**
Lab01-04是一个动态链接库文件。使用Dependency Walker打开它，点击“Export”标签页。观察导出函数列表，发现包含名为`InstallRT`、`StartRT`、`StopRT`和`UninstallRT`的函数。其中`InstallRT`暗示了安装或持久化机制，`StartRT`暗示了恶意功能的启动。接着查看“Import”标签页，发现其导入了`ws2_32.dll`中的网络相关函数（如`WSASocket`、`connect`）以及`advapi32.dll`中的服务管理函数，这表明该DLL可能具备通过网络通信并作为服务运行的能力。

**步骤5：综合验证与功能推断。**
对比Lab01-03与Lab01-04的分析结果。Lab01-03通过`URLDownloadToFile`下载文件，而Lab01-04作为DLL，提供了安装和启动的接口。进一步搜索Lab01-04中的字符串，可能发现与“Service”相关的字符串。由此推断，Lab01-03可能是下载器，负责下载Lab01-04（或类似的后门程序），然后通过导出的Install函数将其安装为系统服务，实现长期驻留。

**四、实验分析**

**实验结果：**
通过对Lab01-03.exe的静态分析，成功识别其UPX壳结构并完成脱壳。分析发现脱壳后的样本调用了`URLDownloadToFile` API，且包含特定的URL字符串，证实其为一个恶意下载器。对Lab01-04.dll的分析显示，它导出了`InstallRT`和`StartRT`等控制函数，并引入了Winsock网络库与服务管理API。这表明该DLL是一个后门组件，设计用于被加载器调用，通过服务机制实现持久化，并建立网络连接等待攻击者指令。

**个人收获：**
本次实验让我从PE文件结构的底层视角理解了恶意代码的静态特征。我学会了通过区段名称快速识别加壳样本，并掌握了使用UPX进行基础脱壳的实用技能。更重要的是，我理清了DLL型恶意代码与普通EXE的区别，明白了通过导出函数命名（如Install、Start）可以推断其攻击逻辑（安装-运行）。这种结合API调用、字符串特征和文件结构的综合分析方法，大大提高了我在不运行代码的情况下解析恶意软件意图的能力。

实验二：静态分析基础技术二

**实验一：静态分析基础技术一**

**一、实验目的**
1. 掌握恶意代码静态分析的基本流程与安全操作规范，能够在隔离环境中对未知样本进行初步处理。
2. 学习并熟练使用PEiD、Strings等工具识别样本的加壳状态及内部关键字符串信息。
3. 理解PE文件结构，掌握通过Dependency Walker查看导入表与导出表的方法。
4. 能够综合运用上述工具，在不运行代码的前提下，推断恶意代码的基本行为与潜在功能。



**二、实验内容**

*   **病毒扫描与哈希计算**：将Lab01-01.exe、Lab01-01.dll及Lab01-02.exe上传至VirusTotal网站，获取文件的MD5/SHA1哈希值及各杀毒引擎的检测结果，验证样本的恶意性。
*   **加壳识别与检测**：利用PEiD或ExeinfoPE工具对三个样本文件进行扫描，分析其入口点及编译器信息，判断文件是否被压缩或加壳，并识别具体的壳名称。
*   **字符串信息提取**：使用Strings工具提取样本中的所有ASCII与Unicode字符串，重点搜索URL、IP地址、文件路径及错误提示信息，分析其可能指向的网络资源或系统操作。
*   **导入导出表分析**：通过Dependency Walker加载样本，查看其依赖的系统DLL文件及调用的API函数（如网络、文件操作函数），对于DLL文件还需分析其导出函数列表。

**三、实验步骤**

**步骤1：样本收集与病毒检测。**
首先在虚拟机中建立专用分析文件夹，放入Lab 1-1和Lab 1-2的三个文件。计算本地哈希值后，分别上传至VirusTotal。记录Lab01-01.exe的SHA1值，观察检测率。若大部分杀软报警，则确认为恶意代码。记录检测报告中提及的“Trojan”或“Downloader”等特征标签，作为后续分析的参考基准。

**步骤2：识别文件是否加壳。**
打开PEiD工具，点击“...”按钮分别载入`Lab01-01.exe`、`Lab01-01.dll`和`Lab01-02.exe`。观察界面的“Enty point”与“File info”栏目。若`Lab01-01.dll`显示“UPX 0.89.6 - 1.02 / 1.05 - 2.xx -> Markus & Laszlo”，则说明该文件被UPX壳加压；若`Lab01-02.exe`显示“Microsoft Visual C++ 6.0”等正常编译信息，则说明未加壳。记录下这些信息，加壳的样本通常无法直接进行字符串或反汇编分析，需优先脱壳。

**步骤3：提取与分析字符串。**
打开命令行提示符（CMD），切换至Sysinternals Suite目录。执行命令 `strings.exe -a -n 4 C:\Samples\Lab01-02.exe`。参数`-a`表示强制扫描所有类型字符，`-n 4`表示仅显示长度大于等于4的字符串。将输出结果重定向保存为txt文件。使用Notepad++打开该文件，搜索“http”、“ftp”、“.exe”、“Create”等关键词。如果在Lab01-02中发现类似`http://www.malicious.com/update.exe`的字符串，极可能表明该样本具有下载器的功能。

**步骤4：分析依赖关系与API函数。**
启动Dependency Walker，打开`Lab01-02.exe`。在左侧树状图中查看其依赖的DLL文件（如kernel32.dll, user32.dll, ws2_32.dll）。重点关注`ws2_32.dll`中的`WSAStartup`或`socket`函数，这验证了网络通信功能。接着打开`Lab01-01.dll`，点击“Export”标签页，查看其导出的函数名称。如果发现导出函数名为非规范的字符串（如“InstallRT”或“Start”），这通常意味着该DLL是专门设计供其他程序恶意加载的插件。

**步骤5：综合验证与数据记录。**
对比上述步骤获取的数据，验证逻辑一致性。例如，若Strings中发现了URL，且Dependency Walker中发现了网络相关的Winsock API，则可相互印证样本具有联网行为。整理所有截图与数据，形成静态分析结论。

**四、实验分析**

**实验结果：**
通过本次实验，我们确认Lab01-01.dll被UPX壳压缩，这会阻碍静态反汇编的进行，但其导出表显示了非标准的函数名。Lab01-02.exe未加壳，字符串提取成功发现了包含“http://”前缀的URL地址以及相关的文件路径字符串。Dependency Walker的分析结果显示，Lab01-02.exe导入了`ws2_32.dll`中的网络连接函数，与字符串分析结果高度吻合。VirusTotal的检测报告也证实了这些文件具有高置信度的恶意特征。

**个人收获：**
本次实验让我掌握了恶意代码静态分析的“三件套”：病毒库查询、加壳识别和字符串/API分析。我深刻理解了静态分析无需运行代码即可揭示样本意图的优势，同时也认识到加壳技术是静态分析的主要障碍。通过分析导入表和字符串，我学会了像侦探一样从碎片信息中拼凑出恶意代码的攻击链路，例如从URL和网络API推断出下载行为，这种逻辑推理能力的提升是本次实验最大的收获。

实验一：静态分析基础技术一

# 实验四：文本信息隐藏实验

## 实验目的
1. 了解文本信息隐藏的常用方法，包括行间距、字间距及特征编码等。
2. 掌握StGraph1工具的使用方法，学会将文本信息隐藏于BMP图像载体中。
3. 熟悉信息隐藏的完整流程，包括载体加载、密钥设置、信息嵌入与提取。
4. 理解密钥在信息隐藏系统中的作用，验证加密后数据的完整性。



## 实验内容
*   **文本隐写原理认知**：学习文本信息隐藏的理论基础，了解如何通过微调文本格式（如颜色、缩放、下划线）来编码秘密信息。
*   **StGraph1工具操作**：使用StGraph1工具加载文本文件和载体图像，通过设置加密密钥，将文本内容嵌入到BMP图片文件中。
*   **信息提取与验证**：利用工具的恢复功能，输入正确密钥，从伪装图像中提取隐藏的文本信息，并与原始文件进行比对。

## 实验步骤
**步骤1：** 启动StGraph1工具。打开操作机，进入实验目录`D:\1、信息安全\4、信息内容安全\23信息隐藏课程\5.文本信息隐藏实验\tools\wenben\StGraph1\Debug`。在文件夹中找到`StGraph1.exe`应用程序，双击打开，弹出工具的主操作窗口。

**步骤2：** 加载待隐藏的文本文件。在工具界面中点击“Load Text File”按钮。在弹出的文件选择对话框中，浏览至实验主目录，选中“BUPT.txt”文件并点击打开。此时，工具已读取待隐藏的文本内容。

**步骤3：** 设置加密密钥。点击确定后，工具弹出密码输入框。根据提示，输入并确认一个不少于五个字符的密钥。本实验中输入密钥为“hongya”。密钥用于对文本信息进行加密保护，确保只有持有密钥的人才能提取信息。输入完成后点击确定，弹出“Text File Loaded”提示加载成功。

**步骤4：** 加载载体图像并嵌入信息。点击工具界面的“Load Bmp”按钮，选择实验主目录中的载体图像文件“test.bmp”并打开。接着点击“Hide Text”按钮，工具开始执行嵌入操作。稍等片刻，弹出提示框显示“Text now become hidden.....”，点击确定完成操作。此时，秘密信息已成功嵌入，且原图片文件被覆盖。

**步骤5：** 提取隐藏的文本信息。点击工具界面的“Recover Text”按钮，在文件对话框中选择刚刚经过信息隐藏处理的图片（即被覆盖后的`test.bmp`）。工具随即弹出密钥输入框，要求输入解密密码。

**步骤6：** 验证解密结果。在密码框中输入之前设置的密钥“hongya”，点击OK按钮。工具成功解密并弹出一个新的对话框，其中显示的内容即为从图片中提取出的原始文本信息。经核对，显示内容为“Hello World”，与原始`BUPT.txt`中的内容一致，证明实验成功。

## 实验分析
**实验结果：** 本次实验成功利用StGraph1工具完成了文本信息在BMP图像中的隐藏与提取。通过设置密钥“hongya”，文本“Hello World”被安全地嵌入到载体图像`test.bmp`中，且覆盖了原始文件。在提取环节，输入正确密钥后，能够完整还原出隐藏的文本内容，而图像本身外观无明显变化，验证了该工具的有效性和隐蔽性。

**个人收获：** 通过实验，我掌握了StGraph1这一隐写工具的具体操作流程，理解了将文本作为秘密信息隐藏于图像载体的实际应用。我认识到，虽然文本本身冗余度低，难以直接修改，但将其作为隐藏对象嵌入高冗余的图像中是一种有效的隐写手段。同时，密钥的设置环节让我深刻体会到信息隐藏与加密技术的结合，密钥的保密性直接关系到隐藏信息的安全性，这为我后续深入学习信息内容安全打下了基础。