恶意代码分析实战1-4
问题1
发现58个引擎报毒
问题2
该文件没有被加壳 有VC++6.0编译
问题3
有PETools可以查看该文件是2019年8月30日编译的
问题4
从导入的动态链接函数可以发现该程序具有创建远程线程的功能,还可以打开一个程序,写入文件
这三个函数是提权用的
问题5
用Strings工具进行分析
可以判断该程序具有从该网址上下载程序并执行的功能,同时该程序还会将自身隐藏在系统目录中
该网址可以作为基于网络的迹象
问题6
用source hacker将资源提取出来,保存到桌面上
分析该文件的特征码可知该文件不是dll文件,则一定是一个exe文件
查看该程序的导入表
可以发现该程序的功能是将文件下载下来并执行