摘要:
问题 1.这个程序做了些什么? sys里面反编译看到的: 从静态分析初步看,应该是sys rootkit方式注册的服务来运行恶意代码,sys里会删除什么东西。 解答:书上说本次实验包括一个驱动程序和一个可执行文件,还要把驱动程序放到C:\Windows\System32目录下面,我们试试 实际运行, 阅读全文
摘要:
Lab 10-01 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了使程序能够正常运行,必须将驱动程序放到C:\Windows\System32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-01.exe,驱动程序是Lab 10-01.sys. 问题 阅读全文