Lab3-3
问题1
每次运行该程序都会多一个svchost.exe然后该进程自动结束
问题2
内存字符串和映像字符串不同,说明该程序对内存中的svchost进行了修改
出现上图字符串一般是对键盘进行监听
问题3、问题4
该程序在系统中创建了practicalmalwareanalysis.log日志文件,我们打开该文件查看如下:
可以看到该程序对键盘记录的结果
Lab3-4
问题1
文件运行一瞬间后自动结束运行并将自身删除
通过procmon不难发现该程序打开了一个cmd.exe
问题2
因为文件会自动删除,所有无法进行有效的动态分析
问题3
分析能力有限,暂时没有办法执行