恶意代码分析实战 Lab 3-3 习题笔记
2017-09-05 16:54
375 查看
Lab 3-3
问题
1.当你使用Process Explorer工具进行监视的时候,你注意到了什么?
解答: 这种没有明确目的的题目,我们先开始运行很多次之后会发现,
Lab03-03.exe会启动
svchost.exe,每点一次启动一个
svchost.exe
然后仔细观察(把系统cpu和内存调小点,这样运行起来就会慢一点)
会发现
Lab03-03.exe创建了一个
svchost.exe
然后
Lab03-03.exe退出,只留下
svchost.exe
而题目的书上解答是
恶意代码执行了对svchost.exe文件的替换
这个的确没想到那么一步
2.你可以找到任何的内存修改的行为吗?
解答: 安装书中的解答方式我们用
Process Explorer点中那个单独出来的
svchost.exe
然后在
Image和
Memory单选按钮之间切换
会发现这两个明显不一样
然后把
Memory中的字符串往下拖会发现
书中提到的
practicalmalwareanalysis.log的字符串,还有就是
[ENTER]和
[SHIFT]
这都是不会在正常的
svchost.exe出现的
正常
svchost.exe的
Image
正常
svchost.exe的
Memory
正常的
svchost.exe的都是相同的
然后出现了
[ENTER]这些字符串,书中说,这个很可能是个击键记录器
我们随便打开虚拟机界面开一个文本乱敲一下看
然后根据
PID来在
procmon中创建一个过滤器
比如这样设置的话
我们就可以发现这个程序一直在不断的
CreateFile和
WriteFile
然后我们找到这个log文件,其实就在可执行程序的同一个目录下
1文件是我为了测试新建的
然后打开这个
log文件,就可以看到记录下来的信息了
注意文中出现的
[ENTER]
3.这个恶意代码在主机上的感染迹象特征是什么?
解答: 根据上面的分析,迹象就是创建了一个praticalmalwareanalysis.log文件
4.这个恶意代码的目的是什么?
解答: 根据上面的分析,是个键盘记录器本文完
相关文章推荐
- 恶意代码分析实战 Lab 6-4 习题笔记
- 恶意代码分析实战 Lab 8 习题笔记
- 恶意代码分析实战 Lab 4 习题笔记
- 恶意代码分析实战 Lab 6-1 习题笔记
- 恶意代码分析实战 Lab 7-2 习题笔记
- 恶意代码分析实战 Lab 1-4 习题笔记
- 恶意代码分析实战 Lab 9-1 习题笔记
- 恶意代码分析实战 Lab 3-2 习题笔记
- 恶意代码分析实战 Lab 3-4 习题笔记
- 恶意代码分析实战 Lab 10-1 习题笔记
- 恶意代码分析实战 Lab 7-1 习题笔记
- 恶意代码分析实战 Lab 9-3 习题笔记
- 恶意代码分析实战 Lab 6-2 习题笔记
- 恶意代码分析实战 Lab 1-3 习题笔记
- 恶意代码分析实战 Lab 1-2 习题笔记
- 恶意代码分析实战 Lab 10-2 习题笔记
- 恶意代码分析实战 Lab 9-2 习题笔记
- 恶意代码分析实战 Lab 3-1 习题笔记
- 恶意代码分析实战 Lab 7-3 习题笔记