实验目的
分析含有恶意代码的程序Lab04.exe
。
使用软件
- PEiD
- Ollydbg
- process monitor
- 7-Zip
- WinHex
使用所给文件完成以下问题
- 这些文件何时编译的?
- 这两个文件是否有迹象被加壳或混淆?证据何在?
- 是否有导入函数?功能?
- 是否有任何其他文件或基于主机的迹象,让你可以再受感染系统上查找?
- 是否有关于网络的恶意代码感染迹象?
1、当你运行该文件时,会发生何种现象?
当运行这个程序之后,鼠标会变成小沙漏,并出现短暂的黑框框,表示程序在运行,并且可能调用了系统的命令行程序cmd.exe
。
然后什么都没有了,再看源程序,发现原来的程序文件已经不见了,说明源程序要不就是被隐藏
了,要不就是被删除
了。