第1章-静态分析实验题

Lab1-1

Question:

1.上传文件至VirusTotal,有相应的反病毒特征

2.使用PEview无法查看文件编译时间，但virustotal结果显示：

Creation Time

2010-12-19 16:16:38

Creation Time

2010-12-19 16:16:19

3.文件并未加壳，通过PEiD简单判断是否加壳

4.使用Dependency Walker 查看导入函数：FindFirstFile\FindNextFile\CopyFile\WS2_32.dll(提供联网功能)

5.使用string查看可看字符串:C:\Windwods\System32\kerne132.dll的字符串(主机特征码)

6.DLL文件含有私有地址127.26.152.13（网络特征码）

7.EXE安装DLL后门程序

Lab1-2

Question:

1.病毒查杀引擎有响应的文件记录

2.用PEiD进行文件查壳UPX加壳

3.发现CreatServices\InternetOpen

4.string发现网站

Lab1-3 略

Lab1-4 略

实验总结：
1.上传检测恶意代码

2.判断文件是否加壳（PEiD）/（PEVIEW查看节的虚拟内存跟实际内存）

3.查看字符串（String）

4.查看导入表（Dependecy Walker）

5.找查主机或网络迹象

6.熟悉DLL导入函数使用方法