恶意代码防范 实验一
实验目的
了解并熟悉给定的工具:
- PEiD
- Ollydbg
- Upxshell
- UPX脱壳终结者
使用所给文件完成以下问题
- 这些文件何时编译的?
- 这两个文件是否有迹象被加壳或混淆?证据何在?
- 是否有导入函数?功能?
- 是否有任何其他文件或基于主机的迹象,让你可以再受感染系统上查找?
- 是否有关于网络的恶意代码感染迹象?
1、这些文件何时编译的
使用PEiD
打开文件,可以看到这个文件编译时间的时间戳,把这个十六进制时间戳转换成十进制就可以在站长工具 > Unix时间戳查到这个时间戳对应的北京时间。
说明这个文件编译于北京时间2010/12/20 0:16:19
。
2、这两个文件是否有迹象被加壳或者混淆?证据何在?
我们用PEiD打开这两个文件,发现底下都写着Microsoft Visual C++ 6.0
,就此看来,以这个软件扫描的能力内这两个文件都是没有加壳、没有被混淆的。
为了验证这个结论,我把其中一个文件Lab01_01.exe
使用工具Upxshell
加壳,再用PEiD
查看,发现底下不再是原来的VC6.0了,变成了UPX加壳的信息,说明加壳成功了。
我发现Olldbg
不仅在后面的实验内容中可以使用到,这个地方我们还可以用Olldbg
自带的脱壳脚本和