本文已参与「新人创作礼」活动,一起开启掘金创作之路。
Lab 3-3
在一个安全的环境中执行Lab03-03.exe文件中发现的恶意代码,同时使用基础的动态行为分析工具监视它的行为。
目录
1、当使用process monitor进行监控的时候,你发现了什么?
1、当使用process monitor进行监控的时候,你发现了什么?
在打开Lab03-03.exe之前,先开监控软件,进行监控。
**在process monitor中,**发现程序一启动,就有大量的svchost.exe。
编辑
**在process monitor中,**发现Lab03-03.exe。
发现了close函数
推测,此程序会创建 svchost.exe并将自己杀死。
2、你可以找出任何的内存修改代码么?
**在process explore中,**可以看到这个新出来的程序。
编辑
当进一步查看stirng内容的时候,发现一个log文件以及一些类似于键盘命令的字符串,但是在image的模式下并没有出现过
编辑
3、这个恶意代码在主机上的感染特征是什么?
运行创建一个svchost.exe,并隐藏自己运行。
编辑
在其中发现PID为296,
将其在process monitor中进行过滤
编辑
发现其频繁的对log文件进行了操作,查看了下目录,发现其创建了一个文件。
编辑
编辑
发现我们在process monitor上面的操作被记录。
猜测这个玩意有监控键盘,记录键盘、鼠标等监控功能。
于是我在桌面建立一个txt,并输入一些内容。
再次打开文件。
编辑
4、恶意代码的目的是什么?
监控记录用户的键盘记录,可能是为了获得用户的账号密码。一般来将获取之后,肯定要进行网络传输,但在这里并没有网络传输。
