摘要: winxp运行该后门后: win7下: 运行前: 运行后还是一样,即便是用cmd管理员运行。看来该病毒只是适合在xp下运行。 Lab 7-3 静态分析strings + IDA pro 分析EXE 分析DLL 1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行? 2.这个恶意代码的两 阅读全文
posted @ 2022-10-02 23:43 bonelee 阅读(251) 评论(0) 推荐(0) 编辑
摘要: 恶意代码分析实战 第七章 实验部分 第7章 分析恶意Windows程序(实验) Lab 7-1:分析在文件Lab07-01.exe中发现的恶意代码 1.1 当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)? 1.2 为什么这个程序会使用一个互斥量? 1.3 可以用来检测这个程序的基于主机 阅读全文
posted @ 2022-10-02 23:38 bonelee 阅读(536) 评论(0) 推荐(0) 编辑
摘要: 第6章 识别汇编中的C代码结构(实验) Lab 6-1:在这个实验中,你将分析在文件Lab06-01.exe中发现的恶意代码 1.1 由main函数调用的唯一子过程中发现的主要代码结构是什么? 1.2 位于0x40105F的子过程是什么? 1.3 这个程序的目的是什么? Lab 6-2:分析在文件L 阅读全文
posted @ 2022-10-02 20:49 bonelee 阅读(286) 评论(0) 推荐(0) 编辑
摘要: 问题:IDA Pro识别了在0x10001656处的子过程(函数)中的多少个局部变量? 当前版本的IDA,识别的是一个参数lpThreadParameter,以及62个参数 局部参数通常以var_开头,偏移值为负值,看红色部分;参数的偏移为正,看蓝色部分。 看恶意代码分袖实战里的截图: 阅读全文
posted @ 2022-10-02 17:00 bonelee 阅读(306) 评论(0) 推荐(0) 编辑
摘要: 恶意代码分析实战Lab0501 1.DllMain的地址是什么? 2.使用Imports窗口并浏览到gethostbyname,导入函数定位到什么地址? 3.有多少函数调用了gethostbyname? 4.将精力集中在位于0x1000757处的对gethostbyname的调用,你能找出哪个DNS 阅读全文
posted @ 2022-10-02 14:59 bonelee 阅读(383) 评论(0) 推荐(0) 编辑