Lab 3-3
1.当你使用Process explorer工具进行监视时,你注意到了什么?
每次双击Lab03-03.exe都会创建一个svchost.exe
,然后自删除,可能替换了svchost.exe
2.你可以找出任何的内存修改行为吗?
工具:process monitor
单击
然后选择image和memory
practicalmalwareanalysis.log
[SHIFT]
[ENTER]
[BACKSPACE]
BACKSPACE
[TAB]
[CTRL]
[DEL]
[CAPS LOCK]
[CAPS LOCK]
C:\WINDOWS\system32\svchost.exe
……
正常的svchost.exe
里的Image和Mermory是相同的。
[ENTER]、[BACKSPACE]、[CAPS LOCK]表明可能是击键记录器。
打开log文件
3.这个恶意代码在主机上的感染迹象特征是什么?
practicalmalwareanalysis.log
4.这个恶意代码的目的是什么?
击键记录器
Lab 3-4
1.当你运行这个文件时,会发生什么呢?
双击删除自身。
2.是什么原因造成动态分析无法有效实施?
自删除。
3.是否有其它方式来运行这个程序?
暂无