实际分析过程中,由于process monitor无法在Windows XP系统下使用,故使用火绒剑作为替代工具
环境
VMware® Workstation 15 Pro
![](https://i-blog.csdnimg.cn/blog_migrate/595909a3dc4dad2fb88f4e56d6075493.png)
apateDNS
ProcessExplorer v16.21.Chs
火绒剑
Strings
Dependency Walker
准备工作
安装相关软件
保存快照
网络模式为,仅主机模式
预览
要执行的实验文件为:
![](https://i-blog.csdnimg.cn/blog_migrate/b3e77e65cc41cc408eee89c820a41493.png)
该文件为随书文件
静态分析
- 查看字符串
- 查看导入表
启动监视环境
- 启动火绒剑
在火绒安全的拓展工具启动火绒剑(或直接启动火绒剑安装版),但不开启监控
退出火绒安全等安全软件
![](https://i-blog.csdnimg.cn/blog_migrate/38eb66e45cc973fcbb3c96f9889f34d7.png)