计算机病毒静态分析1
Lab01-01.dll
- 首先上传至virscan.org进行在线检测
行为分析:
可看出程序运行后进行回连,至ip127.26.153.13,端口为80,为http服务端口。
- 使用peid进行查壳
可见其未加壳,编译软件是VC6.0
- 使用strings工具进行字符串收集
- 使用PEview查看其代码
这个软件可以看到十六进制代码和一些使用strings可捕捉到的字符串,其后使用strings代替。
-
使用PEexplorer查看编译时间
-
使用dependency walker查看其调用的dll及函数
-
使用PEbrowser查看其汇编指令及程序结构。可看出其调用的dll文件以及函数,并可查看其指令地址
Lab01-01.exe
- 首先上传至virscan.org进行在线检测
行为分析:
- 使用peid进行查壳
可见其未加壳,编译软件是VC6.0
-
使用strings工具进行字符串收集
-
使用PEexplorer查看编译时间
-
使用dependency walker查看其调用的dll及函数
-
使用PEbrowser查看其汇编指令及程序结构。可看出其调用的dll文件以及函数,并可查看其指令地址