动态调试分析(下)
教程参考自《恶意代码分析实战》
程序来自:http://www.nostarch.com/malware.htm
Lab 9-3
本节实验使用样本Lab09-03.exe、DLL1.dll、DLL2.dll、DLL3.dll。
Lab09-03.exe导入了哪些DLL?
我们用OD打开函数调用,发现Lab09-03.exe显性地导入了DLL1和DLL2、kernel32.dll和NetAPI32.dll。为什么说是显性呢?因为样本一般还会通过调用LoadLibrary隐形地调用敏感的DLL,如下就是,我们看到Lab09-03.exe有调用LoadLibrayA。
我们使用IDA可以方便地看到样本在两处调用了LoadLibraryA,分别导入了DLL3.dll和user32.dll。
DLL1.dll、DLL2.dll、DLL3.dll要求的基地址是多少&#x