题目:
1.将文件上传至http://www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件
特征吗?
答:我上传的是微步云。
两者都被检测出来是木马。
2.这些文件是什么时候编译的?
![](https://img-blog.csdnimg.cn/direct/021acadeeda74d3e8a67aa7c34d41b4b.png)
![](https://img-blog.csdnimg.cn/direct/2848cb5717e749fda20e55dff66ae0b9.png)
3.这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里?
答:我觉得是有的,主要有一下几点:导入的函数少,字符串扫描出来的少,同时其分节的虚拟大小与物理大小不一致。
peinfo里扫描出来似乎没有壳
peid也没有
4.是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数?
答:我觉得导入函数采取的是一些文件性的操作。openprocess,findfile等
5.是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?
没有
6.是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?
没有
7.你猜这些文件的目的是什么?
复制受感染机的文件。
自己写的答案和答案的出入较大
基本信息在微步云上的都可以获得
非常惊喜的一个细节。
![](https://img-blog.csdnimg.cn/direct/d4629f1bffdb47fca51e580a03fe9803.png)
这里从字符串中扫描,可以看到其改变了系统库的l变成了1,作为被侵入之后的标准。